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信息 是 社会 发 展 的 重要 战略 资源 。 信 息 技术 和 信息 产业 正在 改变 传统 
的 生产 、 经 营 和 生活 方式 ,成 为 新 的 经 济 增长 点 。 信 息 网 络 国际 化 .社会 化 、 
开放 化 、 个 人 化 的 特点 使 国家 的 “信息 边疆 ”不 断 延 伸 , 国 际 上 围绕 信息 的 获 
取 、 使 用 和 控制 的 斗争 您 演 您 烈 , 信 息 安 全 成 为 维护 国家 安全 和 社会 稳定 的 
一 个 焦点 ,各 国都 给 予 极 大 的 关注 与 投入 。 

著名 信息 安全 专家 沈 昌 祥 院 士 指出 :“ 信 息 安 全 既 不 是 纯粹 的 技术 ,也 
不 是 简单 的 安全 产品 的 堆砌 ,而 是 一 项 复杂 的 系统 工程 一 一 信息 安全 工 
程 "”。 其 复杂 性 体现 在 信息 安全 具有 全 面 性 、 生 命 周 期 性 、 动 态 性 、 层 次 性 和 
相对 性 等 特点 。 安 全 体系 结构 的 设计 、 安 全 解决 方案 的 提出 必须 基于 信息 
安全 工程 理论 。 对 企业 来 讲 , 在 建立 与 实施 企业 级 的 信息 与 网 络 系统 安全 
体系 时 ,必须 考虑 信息 安全 的 方方面面 ,必须 兼顾 信息 网 络 的 风险 评估 与 分 
析 , 信 息 网 络 的 整体 安全 策略 、 安 全 模型 .安全 体系 结构 的 开发 ,信息 网 络 安 
全 的 技术 标准 与 规范 的 制定 以 及 信息 网 络 安全 工程 的 实施 等 各 个 方面 。 工 
程 实施 单 位 必须 严格 按照 信息 安全 工程 的 过 程 规范 实施 。 只 有 这 样 才能 实 
现 真 正 意义 的 信息 安全 。 

信息 安全 工程 的 实施 方法 有 许多 种 ,总 的 指导 思想 是 将 安全 工程 与 信 
息 系统 开发 集成 起 来 。 本 书 以 信息 系统 建设 为 基础 ,在 分 析 常 见 信息 安全 
问题 的 基础 上 ,指出 具有 生命 周期 的 信息 安全 工程 建设 流程 。 并 具体 阐述 
信息 安全 工程 过 程 的 目的 是 使 信息 系统 安全 成 为 系统 工程 和 系统 获取 过 程 
整体 的 必要 部 分 ,从 而 有 力 地 保证 客户 目标 的 实现 ,提供 有 效 的 安全 措施 以 
满足 客户 的 需求 ,将 信息 系统 安全 的 安全 选项 集成 到 系统 工程 中 去 获得 最 
优 的 信息 系统 安全 解决 方案 。 

本 书 共 分 9 章 , 第 1 章 信息 安全 工程 基础 ,介绍 信息 与 信息 系统 、 系 统 工 
程 与 软件 工程 的 概念 ,信息 系统 建设 中 常见 的 信息 安全 问题 以 及 信息 安全 
工程 的 概念 、 建 设 流程 和 特点 ;第 2 章 信息 安全 系统 工程 ,介绍 信息 安全 系统 
工程 的 基本 概念 和 过 程 ,以 及 信息 安全 系统 工程 与 其 他 过 程 的 联系 ;第 3 章 
系统 安全 工程 能 力 成 熟 度 模型 ,介绍 SSE-CMM 的 基础 、 体 系 结构 与 应 用 、 
系统 安全 工程 能 力 评估 ;第 4 章 信息 安全 工程 实施 ,介绍 安全 需求 定义 、 安 全 
支持 设计 、 安 全 运行 分 析 、 生 命 周 期 安全 支持 ;第 5 章 信息 安全 策略 ,介绍 信 
息 安 全 策略 的 概念 、 规 划 与 实施 以 及 环境 安全 、 系 统 安全 、 病 毒 防 护 安全 策 
略 ;第 6 章 信 息 安全 等 级 保护 ,介绍 等 级 保护 的 概念 及 其 在 信息 安全 工程 中 


信息 安全 工程 


的 实施 、 等 级 保护 标准 的 确定 ;第 7 章 容 灾 备 份 与 数据 恢复 ,介绍 数据 备份 的 概念 与 技术 
以 及 灾难 恢复 概念 、 种 类 和 应 用 ;第 8 章 信息 安全 管理 ,主要 介绍 信息 安全 管理 的 概念 、 信 
息 安全 人 保障、 体系 和 控制 规范 ;第 9 章 信息 安全 工程 案例 ,分 别 介 绍 涉 密 网 安全 建设 规划 
设计 、 信 息 系统 网 络 安全 工程 实施 和 政府 网 络 安全 解决 方案 。 每 章 后 面 附 有 习题 ,以 便 学 
习 时 使 用 。 
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学 习 目 标 

。 了 解 信 息 与 信息 系统 ; 

。 认识 信息 系统 建设 中 的 安全 问题 ; 
。 认识 信息 安全 工程 概念 ; 

。 了 解 信息 安全 工程 特点 。 


1.1 信息 与 信息 系统 


1.1.1 信息 的 概念 


“信息 ”一 词 来 源 于 拉丁 文 Information, 意思 是 指 一 种 陈述 或 一 种 解释 ,理解 等 。 随 
着 人 们 对 信息 概念 的 深入 认识 ,信息 的 含义 也 在 不 断 演变 。 现 在 “信息 ”一 词 已 经 成 为 一 
个 含义 非常 深刻 ,包含 内 容 相当 丰富 的 概念 。 

信息 论 的 创始 人 C. E. 香农 认为 ,信息 是 “用 来 消除 未 来 的 某 种 不 确定 性 的 因素 ”, 信 
息 是 通信 的 内 容 。 控 制 论 的 创始 人 之 一 维 纳 认为 ,信息 是 "人们 在 适应 外 部 世界 并 且 使 之 
反作用 于 世界 的 过 程 中 . 同 世 界 进行 交换 内 容 的 名 称 ." 也 有 人 认为 .信息 是 物质 和 能 量 在 
空间 和 时 间 中 分 布 的 不 均匀 程度 ,是 伴随 宇宙 中 一 切 过 程 发 生 的 变化 程度 。 

ISOVIEC 的 IT 安全 管理 (ISO/IEC TR13335) 对 信息 的 解释 是 : 信息 是 通过 在 数据 
上 施加 某 些 约定 而 赋予 的 这 些 数据 的 特殊 含义 。 

一 般 意义 上 的 信息 是 指 事物 运动 的 状态 和 方式 ,是 事物 的 一 种 属性 ,在 引入 必要 的 约 
东 条 件 后 可 以 形成 特定 的 概念 体系 。 通 常情 况 下 ,可 以 把 信息 理解 为 消息 、 信 号 数据,. 情 
报 和 知识 。 信 息 本 身 是 无 形 的 ,借助 于 信息 媒体 以 多 种 形式 存在 或 传播 , 它 可 以 存储 在 计 
算 机 、 磁 带 、 纸 张 等 介质 中 :也 可 以 记忆 在 人 的 大 脑 里 ,还 可 以 通过 网 络 .打印 机 、 传 真 机 等 
方式 进行 传播 。 

对 于 现代 企业 来 说 .信息 是 一 种 资产 ,包括 计算 机 和 网 络 中 的 数据 ,还 包括 专利 、 标 
准 、 商 业 机 密 、 文 件 、 图 纸 ,管理 规定 、 关 键 人 员 等 ,就 像 其 他 重要 的 商业 资产 那样 ,信息 资 
产 具有 重要 的 价值 .因而 需要 进行 妥善 保护 。 

需要 注意 的 是 ,从 安全 保护 的 角度 去 考察 信息 资产 ,不 能 只 停留 在 静态 的 一 个 点 或 者 
一 个 层面 上 。 信 息 是 有 生命 周期 的 ,从 其 创建 或 诞生 ,到 被 使 用 或 操作 ,到 存储 ,再 到 被 传 
递 , 直 至 生命 期 结束 而 被 销毁 或 丢弃 .各 个 环节 、 各 个 阶段 都 应 该 被 考虑 到 ,安全 保护 应 该 
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兼顾 信息 存在 的 各 种 状态 ,不 能 够 有 所 遗漏 。 
1.1.2 信息 系统 


20 世纪 40 年 代 , 随 着 计算 机 在 社会 各 个 领域 的 广泛 应 用 和 迅速 普及 ,人 类 社会 步 和 
信息 时 代 , 以 计算 机 为 核心 的 各 种 信息 系统 建设 如 雨后春笋 。 同 时 ,信息 安全 问题 伴随 
而 来 。 

中 国 著名 科学 家 钱学森 院士 认为 :“ 系 统 工程 是 组 织 管理 系统 规划 、 研 究 、 制 造 、 实 
验 ,使 用 的 科学 方法 ,是 一 种 对 所 有 系统 都 具有 普遍 意义 的 科学 方法 。” 系 统 工程 通过 开发 
并 验证 一 个 集成 的 和 在 整个 生命 周期 平衡 的 系统 级 产品 或 过 程 解决 方案 ,以 满足 最 终 
户 的 需求 ,其 模型 包括 开发 .制造 验证、 部署. 运行 ,支持 和 培训 .处 置 等 过 程 。 系 统 工 程 
的 方法 论 是 合理 开发 系统 或 改造 旧 系 统 的 思想 .步骤 方法 .工具 和 技术 。 

信息 系统 建设 基于 系统 工程 的 思想 与 方法 ,其 建设 过 程 复杂 ,任何 系统 均 有 其 产生 、 
发 展 成熟、 消亡 或 更 新 换代 的 过 程 。 这 个 过 程 称 为 系统 的 生命 周期 。 

信息 系统 建设 的 周期 阶段 包括 系统 规划 、 系 统 分 析 与 设计 、 系 统 实施 和 系统 运行 与 维 
护 等 阶段 。 

1. 系统 规划 

这 是 信息 系统 的 起 始 阶段 。 这 一 阶段 的 主要 任务 是 根据 组 织 的 整体 目标 和 发 展 战略 
确定 信息 系统 的 发 展 战略 ,明确 组 织 总 的 信息 需求 ,制定 信息 系统 建设 总 计划 ,其 中 包括 
确定 拟 建 系统 的 总 体 目标 、 功 能 以 及 所 需 资 源 ,并 根据 需求 的 轻 、 重 、 缓 、 急 及 资源 和 应 用 
环境 的 约束 ,把 规划 的 系统 建设 内 容 分 解 成 若干 开发 项 目 ,以 分 期 分 批 进行 系统 开发 。 

2. 系统 分 析 与 设计 

这 一 阶段 的 主要 工作 是 根据 系统 规划 阶段 确定 的 拟 建 系统 总 体 方案 和 开发 项 目的 安 
排 ,分 期 分 批 进行 系统 开发 。 这 是 系统 建设 中 工作 任务 最 为 繁重 的 阶段 。 每 一 个 项 目的 
开发 工作 包括 系统 调查 和 系统 开发 的 可 能 性 研究 .系统 逻辑 模型 的 建立 .系统 设计 、 系 统 
实施 .系统 转换 和 系统 评价 等 。 

3. 系统 实施 

在 信息 系统 的 生命 周期 中 ,经 过 系统 规划 、 系 统 分 析 和 系统 设计 等 阶段 后 , 便 开 始 进 
人 系统 实施 阶段 。 在 系统 分 析 和 设计 阶段 ,系统 开发 工作 主要 集中 在 逻辑 .功能 和 技术 设 
计 上 。 系 统 实施 阶段 要 继承 此 前 各 阶段 的 工作 ,将 技术 设计 转化 成 为 物理 实现 。 系 统 实 
施 的 成 果 是 系统 分 析 和 设计 阶段 的 结晶 。 














4. 系统 运行 与 维护 
每 个 系统 开发 项 目 完成 后 即 投入 应 用 ,进入 正常 运行 和 维护 阶段 。 一 般 说 来 ,这 是 系 
统 生命 周期 中 历史 最 久 的 阶段 ,也 是 信息 系统 实现 其 功能 、 获 得 效益 的 阶段 。 科 学 的 组 织 


与 管理 是 系统 正常 运行 .充分 发 挥 其 效益 的 必要 条 件 , 而 及 时 、 完 善 的 系统 维护 是 系统 正 
常 运 行 的 基本 保证 。 

系统 维护 可 以 分 为 纠 错 性 维护 、 适 应 性 维护 ,完善 性 维护 和 预防 性 维护 。 

(1) 纠 错 性 维护 是 指 对 系统 进行 定期 和 随机 的 检修 ,纠正 运行 阶段 暴露 的 错误 ,排除 
故障 ,消除 隐患 ,更 新 易 损 部 件 ,刷新 各 部 分 的 软件 和 数据 存储 ,保障 系统 按 预 定 要 求 完成 
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各 项 工作 。 

(2) 适应 性 维护 是 指 由 于 管理 环境 与 技术 环境 的 变化 ,系统 中 某 些 部 分 的 工作 内 容 
与 方式 已 不 能 适应 变化 了 的 环境 ,因而 影响 系统 预定 功能 的 实现 。 故 须 对 这 些 部 分 进行 
适当 的 调整 .修改 ,以 满足 管理 工作 的 需要 。 

(3) 完善 性 维护 是 指 用 户 对 系统 提出 了 某 些 新 的 信息 需求 ,因而 在 原 有 系统 的 基础 
上 进行 适当 的 修改 .扩充 ,完善 系统 的 功能 ,以 满足 用 户 新 的 信息 需求 。 

(4) 预防 性 维护 是 预防 系统 可 能 发 生 的 变化 或 受到 的 冲击 而 采取 的 维护 措施 。 

信息 系统 建设 计划 是 指 组 织 关于 信息 系统 建设 的 行动 安排 和 纲领 性 文件 ,内 容 包括 
信息 系统 建设 的 目的 用 途 ,资源 需求 、 费 用 预算 .进度 安排 等 。 

1. 目的 用 途 

信息 系统 建设 计划 的 第 一 个 任务 就 是 确定 信息 系统 建设 的 目的 用 途 , 即 信息 系统 的 
意义 和 对 系统 的 要 求 。 主 要 包括 系统 的 功能 性能、 接口 和 可 靠 性 四 个 方面 。 计 划 人 员 必 
须 使 用 管理 人 员 和 技术 人 员 都 理解 的 无 二 义 性 的 语言 描述 工作 范围 。 

系统 的 功能 描述 应 尽 可 能 具体 化 ,提供 更 多 的 细节 ,因为 这 是 系统 的 成 本 和 进度 估算 
的 主要 依据 。 

系统 性 能 是 指 系统 应 达到 的 技术 要 求 ,例如 信息 存 取 响应 速度 .数据 处 理 精度 要 求 、 
信息 涉及 的 范围 .数据 量 的 估计 、 关 键 设备 的 技术 指标 和 系统 的 先进 性 等 。 一 般 来 说 , 进 
行 成 本 和 进度 估算 ,需要 将 功能 和 性 能 联合 考虑 。 

接口 (Interface) 一 般 分 为 硬件 和 软件 两 类 。 硬 件 指 运 行 信息 系统 的 网 络 硬件 环境 ， 
包括 服务 器 ,交换 机 、 工 作 站 、 外 围 设备 和 连接 线路 等 。 软 件 指 信息 系统 运行 和 开发 必需 
的 系统 软件 和 支持 软件 ,如 操作 系统 .数据库 管理 系统 和 开发 工具 等 。 此 外 软件 还 包括 构 
成 信息 系统 的 一 些 成 熟 的 商品 化 应 用 软件 。 

系统 可 靠 性 是 系统 的 质量 指标 ,包括 硬件 系统 和 软件 系统 的 质量 。 一 方面 是 指 系统 
对 信息 的 存储 ` 加 工 和 分 析 处 理 的 误差 不 影响 管理 人 员 决策 ; 另 一 方面 是 指 系 统 安 全 性 
高 .故障 率 低 或 可 恢复 性 强 等 。 

必须 指出 ,系统 建设 离 不 开 人 的 参与 ,包括 系统 开发 人 员 和 系统 使 用 人 员 。 系 统 开发 
人 员 指 系统 分 析 人 员 、 系 统 设 计 人 员 、 程 序 员 、 网 络 施工 人 员 、 设 备 安 装 人 员 和 测试 人 员 
等 ;系统 使 用 人 员 指 系统 维护 人 员 .操作 员 和 利用 系统 获取 信息 及 辅助 决策 的 管理 人 员 。 

2. 资源 需求 

目的 用 途 明确 以 后 , 接 下 来 就 是 确定 所 需要 的 资源 。 信 息 系统 建设 对 资源 的 需求 由 
低级 到 高 级 可 以 用 金字 塔 图 形 来 描述 .如 图 1-1 所 示 。 底 层 是 支持 开发 和 运行 软件 系统 
的 硬件 环境 (计算 机 网 络 ) ;中 间 层 是 开发 和 运行 应 用 软件 的 支撑 环境 (系统 软件 和 支持 软 
件 ) ;高 层 是 最 重要 的 资源 一 一 人 员 。 无 论 哪 种 资源 都 需要 描述 三 个 属性 : 第 一 是 关于 
人 、 软 件 和 设备 的 描述 ,如 需要 哪 种 水 平 的 人 、 什 么 样 的 硬件 和 软件 ;第 二 是 开始 时 间 ; 第 
三 是 持续 时 间 。 后 两 个 特征 可 以 看 作 是 时 间 窗 口 。 

信息 系统 建设 ,尤其 是 大 型 信息 系统 建设 ,人 员 是 最 重要 的 资源 。 在 系统 建设 过 程 
中 ,不 同 阶 段 ,不 同人 员 参 与 的 程度 不 同 . 其 分 布 如 图 1-2 所 示 。 
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J CC 一 > 人 员 : 技能 要 求 
i 一 > 软件 : 系统 软件 上 开始 时 间 
支持 软件 | 持续 时 间 

硬件 环境 呈 一 > 硬件 : 开发 系统 

运行 系统 


图 1-1 资源 需求 金字 塔 图 形 
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| 一 高 级 技术 人 员 
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| 
1 
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~~- 一 般 技术 人 员 


河 陨 全 由 并 > 


管理 人 员 
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计划 | 概要 设计 1、 施工 | 组 装 测试 | 确认 测试 
系统 分 析 。 详细 设计 。 单元 测试 ”系统 测试 
图 1-2 各 类 人 员 参 与 情况 分 布 图 





3. 费用 预算 

信息 系统 建设 计划 中 的 一 项 非常 重要 的 内 容 就 是 建设 费用 预算 ,预算 以 成 本 估算 为 
基础 。 信 息 系统 的 建设 成 本 主要 包括 网 络 环境 建设 成 本 ,软件 购置 成 本 、 应 用 软件 开发 成 
本 和 安全 设施 建设 成 本 。 网 络 环境 建设 成 本 和 软件 购置 成 本 依据 系统 建设 的 技术 方案 和 
市 场 行情 以 及 国家 的 工程 施工 费用 计算 标准 ,易于 估算 。 而 软件 开发 的 费用 预算 相对 比 
较 困难 ,国内 外 对 此 都 有 许多 研究 成 果 , 但 尚未 形成 一 套 完 整 的 标准 。 因 为 影响 软件 成 本 
的 因素 太 多 ,如 人 技术, 环境、 时间, 市 场 和 政治 因素 等 。 软 件 成 本 估算 的 关键 是 对 软件 
开发 工作 量 进行 估算 。 需 要 特别 提出 的 是 ,安全 设施 建设 成 本 在 最 初 的 信息 系统 建设 中 
要 充分 考虑 ,事实 证 明 . 没 有 安全 设施 的 信息 系统 是 不 可 靠 、 不 可 信 的 ,这 部 分 的 成 本 也 是 
难以 确定 的 , 它 因 系统 的 安全 级 别 和 要 求 的 不 同 而 不 同 。 

4. 进度 安排 

计划 离 不 开 进 度 安排 ,信息 系统 建设 计划 也 不 例外 。 网 络 系 统 施工 、 设 备 采购 、 软 件 
采购 等 所 需 时 间 的 估计 只 需 考 虑 施工 现场 的 环境 .施工 进度 和 采购 的 供应 时 间 等 ,这 些 不 
构成 系统 建设 的 瓶颈 ,可 以 和 信息 系统 软件 开发 并 行 。 最 初 的 信息 系统 建设 认为 关键 在 
于 对 各 环节 所 需 时 间 的 估计 ,真正 难以 确定 进度 安排 的 是 软件 开发 。 事实 上 还 应 该 在 系 
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统 建 设 之 初 进 行 安全 体系 设计 ,以 确保 信息 系统 安全 。 

从 信息 系统 的 整个 生命 周期 来 看 ,如 果 把 信息 系统 的 生命 期 划分 为 建设 期 和 使 用 维 
护 期 ,信息 系统 建设 约 占 总 工作 量 的 40%, 信 息 系 统 使 用 维护 占 总 工作 量 的 60%。 从 统 
计 学 角度 来 看 信息 系统 建设 期 的 各 阶段 工作 量 分 配 如 表 1-1 所 示 。 














表 1-1 信息 系统 建设 各 阶段 的 工作 量 分 配 









工作 量 的 








际 最 | 百分比 /% 
系统 分 析 单元 测试 组装 测试 和 确认 测试 15 
概要 设计 网 络 施工 和 调试 5 





详细 设计 系统 测试 





表 1-1 所 列 数据 只 是 一 种 统计 结果 ,对 于 某 个 具体 系统 可 能 会 有 所 变动 ,不 能 生 搬 硬 
套 , 但 可 依 此 为 指导 ,具体 情况 具体 分 析 。 

进度 安排 是 信息 系统 建设 计划 工作 中 最 困难 的 任务 之 一 ,计划 人 员 要 把 可 用 资源 与 
项 目 工 作 量 协 调 好 ,考虑 各 项 任务 之 间 的 相互 依赖 关系 , 尽 可 能 并 行 安排 某 些 工作 ,预见 
可 能 出 现 问题 和 项 目的 瓶颈 ,并 提出 处 理 意 见 。 最 后 制订 出 计划 进度 表 , 其 格式 如 表 1-2 
所 示 ,其 中 完成 任务 所 需 时 间 是 根据 工作 量 来 估计 的 。 


表 1-2 计划 进度 表 








任务 2 
任务 3 














任务 n 


工作 量 总 计 


1.2 系统 工程 与 软件 工程 


1.2.1 系统 工程 的 概念 与 发 展 


系统 是 由 相互 作用 和 相互 依赖 的 若干 组 成 部 分 或 要 素 结合 而 成 的 具有 特定 功能 的 有 
机 整体 。 
系统 的 概念 包含 三 个 基本 要 点 : 四 系统 由 要 素 组 成 ; 加 系统 要 素 间 存在 各 种 联系 ; 
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图 系统 实现 一 定 的 功能 和 目的 。 

系统 的 普遍 模型 : 每 一 个 系统 都 由 一 些 子 系统 所 组 成 ,可 以 根据 不 同 的 要 求 将 系统 
分 解 成 不 同 的 子 系统 。 

系统 的 边界 和 接口 : 系统 的 边界 由 定义 和 描述 一 个 系统 的 一 些 特征 来 形成 ,边界 之 
内 是 系统 ,边界 之 外 是 环境 。 系 统 的 子 系统 由 子 系统 之 间 的 边界 勾画 出 来 , 子 系统 之 间 的 
相互 连接 或 相互 作用 称 为 接口 ,接口 处 于 子 系统 的 边界 上 。 

下 面 给 出 系统 工程 的 定义 “系统 工程 是 组 织 管理 系统 规划 .研究 .制造 .试验 和 使 
用 “系统 ”的 科学 方法 ,是 一 种 对 所 有 “系统 "都 具有 普遍 意义 的 科学 方法 。 系 统 工程 的 意 
义 是 使 系统 达到 一 种 整体 性 的 优化 指标 。 

系统 工程 的 研究 对 象 是 系统 。 系 统 有 自然 系统 与 人 造 系统 、 封 闭 系统 与 开放 系统 、 静 
态 系 统 与 动态 系统 ,实体 系统 与 概念 系统 、 宏 观 系 统 与 微观 系统 、 软 件 系 统 与 硬件 系统 之 
分 。 不 管 系统 如 何 划 分 ,凡是 能 称 其 为 系统 的 ,都 具有 如 下 特性 : 整体 性 .相关 性 .目的 
性 有 序 性 和 环境 适应 性 。 

1) 整体 性 

系统 是 由 两 个 或 两 个 以 上 相互 区 别 的 要 素 ( 元 件 或 子 系统 ) 组 成 的 整体 。 构 成 系统 的 
各 要 素 虽然 具有 不 同 的 性 能 ,但 它们 通过 综合 .统一 (而 不 是 简单 拼凑 ) 形 成 的 整体 就 具备 
了 新 的 特定 功能 ,就 是 说 ,系统 作为 一 个 整体 才能 发 挥 其 应 有 功能 。 所 以 ,系统 的 观点 是 
一 种 整体 的 观点 、 一 种 综合 的 思想 方法 。 

2) 相关 性 

构成 系统 的 各 要 素 之 间 、 要 素 与 子 系统 之 间 、 系 统 与 环境 之 间 都 存在 着 相互 联系 、 相 
互 依赖 .相互 作用 的 特殊 关系 ,通过 这 些 关 系 ,使 系统 有 机 地 联系 在 一 起 ,发 挥 其 特定 
功能 。 

3) 目的 性 

任何 系统 都 是 为 完成 某 种 任务 或 实现 某 种 目的 而 发 挥 其 特定 功能 的 。 要 达到 系统 的 
既定 目的 ,就 必须 赋予 系统 规定 的 功能 ,这 就 需要 在 系统 的 整个 生命 周期 , 即 系统 的 规 
划 、 设 计 、 试 验 , 制 造 和 使 用 等 阶段 ,对 系统 采取 最 优 规划 、 最 优 设 计 、 最 优 控制 .最 优 管理 
等 优化 措施 。 

4) 有 序 性 

系统 有 序 性 主要 表现 在 系统 空间 结构 的 层次 性 和 系统 发 展 的 时 间 顺 序 性 。 系 统 可 分 
成 若干 子 系统 和 更 小 的 子 系统 ,而 该 系统 又 是 其 所 属 系统 的 子 系统 。 这 种 系统 的 分 割 形 
式 表现 为 系统 空间 结构 的 层次 性 。 另 外 ,系统 的 生命 过 程 也 是 有 序 的 , 它 总 是 要 经 历 孕 
育 . 诞 生 发展、 成熟 . 训 老 消亡 的 过 程 ,这 一 过 程 表 现 为 系统 发 展 的 有 序 性 。 系 统 的 分 
析 、 评 价 ,管理 都 应 考虑 系统 的 有 序 性 。 

5) 环境 适应 性 

系统 是 由 许多 特定 部 分 组 成 的 有 机 集合 体 .而 这 个 集合 体 以 外 的 部 分 就 是 系统 的 环 
境 。 系 统 从 环境 中 获取 必要 的 物质 、 能 量 和 信息 ,经 过 系统 的 加 工 、 处 理 和 转化 ,产生 新 
的 物质 .能量 和 信息 ,然后 再 提供 给 环境 。 另 一 方面 , 环境 也 会 对 系统 产生 干扰 或 限制 ， 
即 约束 条 件 。 环 境 特性 的 变化 往往 能 够 引起 系统 特性 的 变化 ,系统 要 实现 预定 的 目标 或 
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功能 ,必须 能 够 适应 外 部 环境 的 变化 。 研 究 系 统 时 ,必须 重视 环境 对 系统 的 影响 。 

系统 工程 的 一 个 典型 实例 : 战国 时 期 , 齐 王 与 大 将 田鼠 赛马 ,双方 约定 各 出 3 匹 马 ， 
分 别 为 3 个 等 级 (上 等 马 、. 中 等 马 和 下 等 马 ) , 问 田鼠 战胜 齐 王 的 对 策 是 什么 ”上 等 马 用 1 
表示 ,中 等 马 用 2 表示 ,下 等 马 用 3 表示 。 齐 王 与 田鼠 各 有 6 个 策略 : 

L233 3 
2 

那么 这 就 是 系统 工程 的 一 个 典型 例子 , 它 体现 的 就 是 一 种 方法 论 ,是 一 种 战略 部 署 ， 
目的 是 达到 整体 最 优 ,也 就 是 说 ,不 拘泥 于 一 场 比 赛 的 胜 负 , 只 要 通过 某 种 方法 ,或 者 叫做 
战略 上 的 部 署 和 改变 ,就 可 以 取得 全 局 上 的 胜利 。 所 以 系统 工程 强调 的 是 战略 部 署 ,而 系 
统 工程 往往 会 和 运筹 学 相 结合 ,运筹 学 能 提供 的 就 是 达到 最 终 的 整体 上 的 胜利 需要 用 到 
的 具体 方法 ,也 就 是 战术 安排 。 将 系统 工程 的 战略 部 署 与 运筹 学 的 战术 安排 相 结合 ,最 终 
达到 克 敌 制胜 的 目的 。 那 么 运筹 学 的 作用 就 是 系统 工程 中 的 基础 理论 和 数学 工具 ,提供 
决策 所 要 参考 的 方法 和 依据 。 

系统 工程 来 源 于 千 百 年 来 人 们 的 生产 实践 ,是 由 点 滴 经 验 的 总 结 形成 的 。 在 中 国 , 早 
在 2600 多 年 前 的 (周易 》、 其 后 孔子 所 作 的 ( 易 传 》、 老 子 创始 的 道家 、 庄 子 的 (天 运 ), 还 有 
《孙子 兵法 )《 黄 帝 内 经 》《 易 经 ) 等 都 试图 对 自然 的 演化 、 社 会 的 发 展 作出 统一 解释 。 它 
们 把 世界 看 成 是 一 个 由 基本 要 素 组 成 的 .动态 演化 的 、 多 层次 的 系统 整体 ,主张 从 整体 上 
把 握 系 统 世 界 。 在 西方 ,大 体 也 同样 的 久远 , 古 希 腊 泰 勒 斯 (Thales)、 赫 拉克 利 特 
(Herakleitos) 尝 试探 索 组 成 万 物 的 要 素 , 德 放 克 利 特 (Demokritos) 提 出 了 构成 宇宙 系统 
要 素 的 原子 论 , 亚 里 士 多 德 (Aristoteles) 的 “整体 大 于 各 部 分 的 总 和 ”更 是 现代 系统 论 的 
最 基本 思想 。 

下 面 介 绍 一 下 国外 系统 工程 发 展 的 四 个 时 期 。 

1. 萌芽 时 期 (1900 一 1956) 

美国 贝尔 电话 公司 的 Eigi Molina 和 丹麦 哥本哈根 电话 公司 的 Aiki Erlang 在 研究 自 
动 交 换 机 时 运用 了 排队 论 的 原理 ,提出 了 埃 尔 朗 公 式 , 到 麻 省 理工 学 院 的 ViBush 教授 研 
制 出 机 械 式微 分 器 和 J.P. Eckert 博士 成 功 研制 了 电子 数字 计算 机 时 才 把 系统 工程 作为 
分 析 工 具 。 

第 二 次 世界 大 战 期 间 出 现 了 运筹 学 .开始 应 用 大 规模 系统 。 首 先是 英国 将 系统 工程 
应 用 于 制定 作战 计划 ,如 解决 护航 舰队 的 编制 ,防空 雷达 的 配置 ,提高 反潜 艇 的 作战 效果 
以 及 民 防 等 问题 ,广泛 应 用 了 数学 规划 、 排 队 论 、 博 弈 论 等 方法 。 

二 次 世界 大 战 时 期 ,德国 空军 对 英国 狂 稻 滥 炸 ,为 对 付 敌人 的 空袭 ,英国 人 使 用 了 雷 
达 , 但 由 于 没有 科学 的 布局 ,防空 系统 的 效率 并 不 高 ,为 解决 这 个 问题 ,英国 军 方 于 1939 
年 9 月 从 全 国 各 地 调 来 一 批 科学 家 , 共 11 人 。 他们 中 有 将 军 1 人 ,数学 家 2 人 ,理论 物理 
学 家 2 人 、 应 用 物理 学 家 1 人 、 天 体 物 理学 家 1 人 ,测量 学 家 1 人 、 生 物 学 家 3 人 ,来 到 英 
皇家 空军 指挥 部 ,组 成 了 世界 上 第 一 个 运筹 党 小组。 他 们 的 任务 就 是 应 用 系统 论 的 观 
点 和 统筹 规划 的 方法 研究 作战 问题 ,这 个 运筹 学 小 组 在 作战 中 发 挥 了 卓越 的 作用 ,受到 英 
国政 府 极 大 的 重视 。 于 是 ,英国 政府 逐渐 在 其 海陆 空 三 军 中 都 成 立 了 运筹 学 小 组 。 美 国 
参战 以 后 ,也 仿效 英国 在 军队 中 成 立 了 运筹 学 小 组 。 
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1940 年 ,美国 组 织 了 25 000 名 科技 人 员 、120 000 名 生产 人 员 ,由 加 州 理工 大 学 理论 
物理 教授 奥 本 海 墨 领导 , 花 了 3 年 半 时 间 , 制 造 出 世界 第 一 颗 原子 弹 。1945 年 美国 空军 
建立 了 兰 德 (RAND) 公 司 ,创造 了 许多 数学 方法 用 来 分 析 复 杂 系 统 , 后 来 借助 电子 计算 机 
取得 了 一 些 显著 成 果 。 

1950 年 , 麻 省 理工 学 院 试验 了 系统 工程 学 的 教育 ,1954 年 开设 了 工程 分 析 课 程 ,1956 
年 ,美国 个 别 杂志 出 现 了 少量 系统 工程 的 文章 。 而 在 军事 上 早 就 得 到 了 广泛 应 用 。 

2. 发 展 时 期 (1957 一 1964) 

1957 年 ,美国 的 H. Goode 和 R.E. Machol 教授 在 所 著 的 《System Engineering) 中 正 
式 为 系统 工程 定名 。1962 年 ,A. D. Hall 出 版 (系统 工程 方法 论 》。 

20 世纪 60 年 代 初 ,美国 .英国 .日 本 和 加 拿 大 等 国家 将 系统 工程 用 于 地 下 矿 和 露天 
矿 的 开采 。 这 个 时 期 开始 出 现 大 量 相关 的 文章 和 书籍 。 

3. 初步 成 熟 期 (1965 一 1980) 

20 世纪 60 年 代 以 后 ,开始 了 对 于 复杂 大 系统 的 研究 。 系 统 工程 开始 应 用 于 社会 系 
统 、 技 术 系统 、 经 济 系统 的 最 优 控制 和 最 优 管理 。 在 此 基础 上 ,美国 的 阿波 罗 计 划 成 功 

20 世纪 80 年 代 以 后 ,在 工农 业 ,交通 运输 ,能 源 .战略 等 部 门 在 大 型 工程 项 目 中 要 求 
做 系统 分 析 、 可 行 性 报告 ,方案 才能 够 评审 。 

4. 成 熟 时 期 (1990 一 2000) 

由 于 计算 机 的 发 展 , 系 统 工程 发 展 迅 速 ,一 些 以 前 不 好 解决 的 复杂 问题 得 到 了 满意 的 
解决 。 系 统 工程 的 发 展 更 加 倾向 于 解决 复杂 系统 中 的 建 模 和 优化 问题 ,与 信息 学 科 和 控 
制 论 密 不 可 分 。 人 类 开始 用 系统 的 方法 去 思考 问题 和 解决 问题 。 

那么 我 国 系统 工程 的 发 展 又 是 如 何 呢 ? 

中 国 科 学 院 于 1956 年 在 力学 研究 所 成 立 * 运 用 (Operation) 组 ”, 即 后 来 “运筹 组 ”的 
前 身 。1980 年 成 立 “ 系 统 科 学 研究 所 ”。 

20 世纪 60 年 代 ,在 钱学森 的 领导 下 ,我 国 导弹 等 现代 化 武器 总 体 设 计 取得 了 显著 成 
效 。 他 在 系统 工程 方法 论 方面 有 深刻 的 研究 ,提出 了 现代 科学 技术 的 体系 结构 。 

1986 年 ,钱学森 发 表 " 为 什么 创立 和 研究 系统 学 ”把 我 国 系统 工程 研究 提高 到 基础 
理论 上 ,从 系统 科学 体系 的 高 度 进行 研究 。 指 出 “系统 工程 是 组 织 管理 系统 规划 \ 研 究 、 制 
造 .试验 使 用 的 科学 方法 ,是 一 种 对 所 有 系统 都 有 普遍 意义 的 科学 方法 ”。 

可 以 看 出 ,我 们 所 知 的 对 世界 发 展 史 上 影响 重大 的 很 多 事件 都 与 系统 工程 有 关 ,成 就 
这 些 大 事件 所 涉及 的 知识 领域 范围 广泛 ,可 见 系 统 工 程 所 需要 的 理论 基础 所 涉及 的 科学 
领域 也 是 非常 广泛 的 。 

。 自然 科学 : 数学 、 运 筹 学 .统计 学 、 概 率 论 等 ; 

。 社会 科学 : 经 济 学 、 社 会 学 ,行为 科学 等 ; 

。 工程 技术 : 控制 理论 .计算 机 科学 、 信 息 技术 等 。 

系统 工程 方法 的 主要 环节 如 下 。 

。 系统 分 析 : 给 出 系统 模型 ; 
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。 系统 模拟 : 模拟 仿真 ,通过 比较 作出 最 优 决策 ; 

。 系统 设计 : 提出 技术 上 能 实现 的 优化 设计 ; 

。 系统 管理 : 进行 系统 的 研制 .试验 和 评价 ,及 时 改正 。 

系统 工程 是 一 种 方法 论 。 系统 工程 是 钱学森 最 先 引入 中 国 并 倡导 推广 的 。 钱 学 森 对 
系统 工程 的 定义 是 : 系统 工程 是 组 织 管理 系统 规划 、 研 究 、. 制 造 .试验 .使 用 的 科学 方法 ， 
是 一 种 对 所 有 系统 都 具有 普遍 意义 的 科学 方法 。 

它 不 同 于 水 木工 程 、 机 械 工程 等 硬 工程 ,系统 工程 主要 研究 工程 的 组 织 和 经 营 管理 这 
些 方面 ,是 对 软 科学 的 研究 。 系 统 工程 具有 如 下 特点 。 

1) 是 以 人 参与 系统 为 研究 对 象 

任何 系统 都 是 人 、 设 备 、 过 程 的 有 机 组 合 ,其 中 最 主要 的 因素 是 * 人 ”, 尤 其 在 涉及 安全 
的 问题 上 ,人 的 因素 很 重要 。 

2) 通过 数学 模型 和 逻辑 模型 来 描述 系统 

在 一 个 具体 项 目 应 用 时 ,系统 工程 要 求 把 项 目 或 过 程 分 成 几 个 大 步骤 ,而 每 个 步骤 又 
按 一 定 的 程序 展开 ,以 保证 系统 思想 在 每 个 部 分 、 每 个 环节 体现 出 来 。 系 统 工程 以 整体 
的 、 综 合 的 ,关联 的 、 科 学 的 、 实 践 的 观点 来 看 待 研究 对 象 , 而 信息 系统 和 信息 安全 的 复杂 
性 和 动态 变化 性 则 要 求 要 以 “问题 导向 和 反馈 控制 ”做 保障 。 

下 面 介绍 系统 工程 的 方法 论 。 系 统 工程 方法 论 是 指 用 于 解决 复杂 系统 问题 的 一 套 工 
作 步 又、 方法 、 工 具 和 技术 。 在 众多 的 系统 工程 方法 论 中 ,以 霍 尔 三 维 结构 最 具 代 表 性 , 它 
为 解决 大 型 复杂 系统 的 规划 组织、 管理 问题 提供 了 一 种 统一 的 思想 方法 ,在 世界 各 国 得 
到 了 广泛 应 用 。 和 起 尔 三 维 结构 将 系统 工程 整个 活动 过 程 分 为 前 后 紧密 衔接 的 7 个 阶段 和 
7 个 步骤 ,同时 还 考虑 了 为 完成 这 些 阶段 和 步骤 所 需要 的 各 种 专业 知识 和 技能 。 这 样 ,就 
形成 了 由 时 间 维 ` 逻 辑 维和 知识 维 所 组 成 的 三 维 空间 结构 。 

(1) 时 间 维 表示 系统 工程 活动 从 开始 到 结束 按时 间 顺 序 排列 的 全 过 程 , 分 为 规划 、 拟 
定 方案 研制 生产、 安装 .运行 ,更 新 7 个 时 间 阶 段 。 

(2) 逻辑 维 是 指 时 间 维 的 每 一 个 阶段 内 所 要 进行 的 工作 内 容 和 应 该 遵循 的 思维 程 
序 , 包 括 明 确 问题 确定 目标 、 系 统 综合 、 系 统 分 析 、 优 化 决策 ,实施 7 个 多 辑 步 又。 

(3) 知识 维 (专业 科学 知识 )。 系 统 工程 除了 要 求 为 完成 上 述 各 步骤 、 各 阶段 所 需 的 
某 些 共性 知识 外 ,还 需要 其 他 学 科 的 知识 和 各 种 专业 技术 , 霍 尔 把 这 些 知 识 分 为 工程 、 医 
药 、 建 筑 .商业 ,法律 ,管理 .社会 科学 和 艺术 等 各 种 知识 和 技能 。 各 类 系统 工程 ,如 军事 系 
统 工程 .经济 系统 工程 信息 系统 工程 等 ,都 需要 使 用 其 他 相应 的 专业 基础 知识 。 


1.2.2 软件 工程 


从 20 世纪 90 年 代 初 起 ,计算 学 科 的 发 展 就 远 远 超越 了 计算 机 科学 的 边界 ,形成 了 计 
算 机 科学 ,计算 机 工程 软件 工程 、 信 息 系统 与 信息 技术 等 若干 独立 学 科 。 计 算 机 工程 从 
电子 工程 学 科 中 分 离 出 来 , 旨 在 研究 计算 机 硬件 的 相关 工程 问题 ,而 软件 工程 则 从 计算 机 
科学 中 的 一 个 学 科 方 向 发 展 成 为 与 之 并 重 的 一 门 独立 学 科 , 重 点 研究 如 何以 系统 的 、 可 控 
的 、 高 效 的 方式 开发 和 维护 高 质量 软件 的 问题 。 
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1. 软件 工程 的 定义 

软件 工程 学 科 诞生 后 ,人 们 为 软件 工程 给 出 了 不 同 的 定义 ,例如 最 早 的 定义 是 由 下 . 
L. Bauer 给 出 的 , 即 * 软 件 工程 是 为 了 经 济 地 获得 能 够 在 实际 机 器 上 高 效 运行 的 .可 靠 的 
软件 而 建立 和 应 用 一 系列 坚实 的 软件 工程 原则 ”。 而 美国 梅 隆 卡 耐 基 大 学 软件 工程 研究 
所 (SED) 给 出 的 定义 则 是 ,软件 工程 是 以 工程 的 形式 应 用 计算 机 科学 和 数学 原理 ,从 而 经 
济 有 效 地 解决 软件 问题 。 但 目前 普遍 使 用 的 软件 工程 定义 是 由 IEEE 给 出 的 , 即 软 件 工 
程 是 将 系统 性 的 .规范化 的 、 可 定量 的 方法 应 用 于 软件 的 开发 运行 和 维护 。 

软件 工程 的 概念 实际 存在 两 层 含义 : 从 狭义 概念 看 ,软件 工程 着 重 体现 在 软件 过 程 
中 所 采用 的 工程 方法 和 管理 体系 ,例如 ,引入 成 本 核算 、 质 量 管理 和 项 目 管理 等 ,即将 软件 
产品 开发 看 作 是 一 项 工程 项 目 所 需要 的 系统 工程 学 和 管理 学 ;从 广义 概念 看 ,软件 工程 涵 
盖 了 软件 生命 周期 中 所 有 的 工程 方法 、 技 术 和 工具 ,包括 需求 工程 ,设计 编程 .测试 和 维 
护 的 全 部 内 容 , 即 完成 一 个 软件 产品 所 必 备 的 思想 、 理 论 、 方 法 ,技术 和 工具 。 

2. 软件 工程 的 内 涵 

软件 工程 学 科 包含 为 完成 软件 需求 ,设计 、 构 建 ` 测 试 和 维护 所 需 的 知识 .方法 和 工 
具 。 软 件 工 程 不 局 限 在 理论 之 上 ,更 重要 是 在 实践 上 ,能够 帮助 软件 组 织 协调 团队 、 运 用 
有 限 的 资源 ,遵守 已 定义 的 软件 工程 规范 ,通过 一 系列 可 复 用 的 有 效 的 方法 ,在 规定 的 时 
间 内 达到 预先 设 定 的 目标 。 针 对 软件 工程 的 实施 ,无 论 采 用 什么 样 的 方法 和 工具 ,先进 的 
软件 工程 思想 始终 是 最 重要 的 。 只 有 在 正确 的 工程 思想 指导 下 ,才能 制定 正确 的 技术 路 
线 , 才 能 正确 地 运用 方法 和 工具 达到 软件 工程 或 项 目 管理 的 既定 目标 。 

3. 软件 工程 是 一 门 交叉 性 学 科 

软件 工程 是 一 门 交叉 性 的 工程 学 科 , 它 是 将 计算 机 科学 ,数学 .工程 学 和 管理 学 等 基 
本 原理 应 用 于 软件 的 开发 与 维护 中 ,其 重点 
在 于 大 型 软件 的 分 析 与 评价 ,规格 说 明 ,设计 
和 演化 ,同时 涉及 管理 .质量 .创新 .标准 、 个 
人 技能 .团队 协作 和 专业 实践 等 。 图 1-3 为 
软件 工程 、 知 识 与 实践 关系 图 。 从 这 个 定义 
上 看 ,软件 工程 可 以 看 作 由 下 列 3 部 分 组 成 : 
Q@ 计 算 机 科学 和 数学 用 于 构造 软件 的 模型 与 
算法 ; @ 工 程 科学 用 于 制定 规范 、 设 计 范 型 、 
评估 成 本 以 及 确定 权衡 等 ; @ 管 理科 学 用 于 
计划 ,资源 .质量 \ 成 本 等 管理 。 

例如 ,计算 机 辅助 软件 工程 (Computer 
Aided Software Engineering,CASE) 是 一 组 
工具 和 方法 的 集合 ,可 以 辅助 软件 生命 周期 
各 阶段 进行 的 软件 开发 活动 。CASE 吸收 了 CAD( 计 算 机 辅助 设计 )、 软 件 工 程 、 操 作 系 
统 、 数 据 库 、 网 络 和 许多 其 他 计算 机 领域 的 原理 和 技术 。 这 个 例子 也 体现 了 这 一 点 一 一 软 
件 工程 是 学 科 交 叉 的 、 集 成 和 综合 的 领域 。 





图 1-3 软件 工程 .知识 与 实践 关系 图 
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4. 软件 工程 学 科 范 围 


如 果 从 知识 领域 看 ,软件 工程 学 科 是 以 软件 方法 和 技术 为 核心 ,涉及 计算 机 的 硬件 体 
系 、 系 统 基础 平台 等 相关 领域 .同时 还 涉及 一 些 应 用 领域 和 通用 的 管理 学 科 、 组 织 行为 学 
科 。 图 1-4 为 软件 工程 学 科 领 域 范围 图 。 例 如 ,通过 应 用 领域 的 知识 帮助 我 们 理解 用 户 
的 需求 ,从 而 可 以 根据 需求 来 设计 软件 的 功能 。 在 软件 工程 中 必然 要 涉及 组 织 中 应 用 系 
统 的 部 署 和 配置 所 面临 的 实际 问题 ,同时 又 必须 不 断 促进 知识 的 更 新 和 理论 的 创新 。 为 
了 真正 解决 实际 问题 ,需要 在 理论 和 应 用 上 获得 最 佳 平衡 。 











组 织 系统 行为 | ee 号 到 
一 一 a 一 一 
应 用 技术 | /6 
tf 站 和 攻 术 | 帮 软件 工程 学 和 领域 加 
系统 基础 平台 | ”AL Ad 
计算 机 硬件 体系 | 0 
理论 开发 。 应 用 
原 蝇 “倾向 理论 倾向 应 用 “部 轩 
图 14 ”软件 工程 学 科 领 域 范围 图 
5. 软件 开发 工作 量 


软件 开发 工作 量 估算 是 软件 成 本 估算 的 重要 部 分 ,软件 开发 的 总 时 间 和 总 工作 量 的 
估算 策略 有 两 种 : 一 种 是 自 顶 向 下 , 即 首先 对 整个 项 目的 总 开发 时 间 和 总 工作 量 进行 估 
算 , 然 后 分 解 到 各 阶段 .步骤 和 工作 单元 。 另 一 种 是 自 底 向 上 , 即 首先 估计 各 工作 单元 所 
需 的 时 间 和 工作 量 , 然 后 相 加 ,得 到 各 步骤 和 阶段 直至 整个 项 目的 总 工作 量 和 总 时 间 。 无 
论 采 取 哪 种 思路 ,都 必须 使 用 一 定 的 方法 ,有 以 下 三 种 常用 的 方法 。 

1) 专家 估算 法 

专家 估算 法 依靠 一 个 或 多 个 专家 ,对 要 求 的 项 目 做 出 估计 ,其 准确 程度 取决 于 专家 对 
估算 项 目 定性 参数 的 了 解 和 经 验 。 该 方法 适宜 于 自 顶 向 下 的 策略 。 

2) 类 推 估算 法 

对 于 自 顶 向 下 策略 ,类 推 估算 法 是 将 要 估算 的 项 目的 总 体 参 数 与 类 似 项 目 进行 直接 
比较 从 而 获得 结果 。 对 于 自 底 向 上 策略 ,类推 估算 法 是 将 具有 相似 条 件 的 工作 单元 进行 
比较 获得 估算 结果 。 

3) 算式 估算 法 

经 验 表明 ,软件 开发 的 人 力 投 入 M 与 软件 项 目的 指令 数 工 存在 如 下 关系 : 

M= L/P (1-1) 
其 中 尸 为 常数 ,单位 为 指令 数 / 人 “ 日 。 使 用 该 公式 ,必须 用 专家 估算 法 和 类 推 估算 法 估 
算 指令 数 工 和 尸 值 。 而 且 其 中 工 是 源 指令 数 还 是 目标 指令 数 .是 否 包 含 未 交付 的 试验 指 
令 .P 值 如 何 选择 .是否 包括 系统 分 析 ` 是否 包括 质量 保证 和 项 目 管理 等 问题 难以 界定 。 
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因此 式 (1-1) 实 际 使 用 存在 许多 困难 。 大 量 的 研究 发 现 ,对 式 (1-1) 稍 作 修改 ,得 
E=7S° (1-2) 
式 (1-2) 与 实际 统计 数据 一 致 ,该 式 被 称 为 寡 定 律 算 法 。 其 中 巨 为 到 交付 使 用 为 目 
的 总 的 开发 工作 量 ,单位 为 人 “月 ;S 为 源 指令 数 , 不 包括 注释 ,但 包括 数据 说 明 、 公 式 或 
类 似 的 语句 ;常数 + 和 c 为 校正 因子 , 若 S 的 单位 为 10? 条 ,EF 的 单位 为 人 月 , 则 rE[L1l， 
5],cE[0.9,1.5]。 
开发 进度 的 估算 ,重点 是 对 软件 工作 量 的 估算 。 这 里 着 重 讨论 开发 时 间 与 工作 量 之 
间 的 关系 ,进而 安排 工作 进度 。 
假设 开发 工作 量 估算 值 为 ,如 果 在 规定 的 本 时 间 内 完成 , 则 和 需要 投入 的 人 力 M 
之 间 应 满足 M 二 E/T。 但 是 ,软件 项 目的 工作 量 和 开发 时 间 往 往 不 能 相互 独立 ,这 种 现 
象 最 极端 的 情况 是 为 计划 不 合理 的 项 目 增加 人 员 只 会 越 增 越 乱 ,甚至 会 使 进度 更 慢 。 
研究 人 员 发 现 ,开发 时 间 和 开发 工作 量 之 间 满 足 
T= (1-3) 
其 中 a 和 2 为 经 验 常 数 ,习惯 上 下 的 单位 为 人 。 月 .T 的 单位 为 月 ,aeE[2,4],2E[L0.25， 
0.4]。 
由 式 (1-3) 可 以 看 出 ,软件 开发 时 间 和 软件 开发 工作 量 的 0. 25 一 0.4 次 寒 成 正比 ,就 
是 说 要 花 很 高 的 代价 才能 使 开发 时 间 稍 有 缩短 ,其 下 限 是 5 二 1/4, 表 明 无 论 增加 多 少 人 
员 , 也 不 能 提高 太 多 的 开发 进度 ,因为 增加 的 这 一 部 分 工作 人 员 的 工作 量 都 消耗 在 保持 项 
目 人 员 之 间 通 信 的 开销 上 了 。 


1.3 常见 信息 安全 问题 


信息 是 社会 发 展 的 重要 战略 资源 ,信息 技术 与 信息 产业 是 经 济 发 展 的 重要 增长 点 。 
信息 技术 推动 社会 发 展 的 同时 带 来 了 诸多 的 信息 安全 问题 。 信 息 安全 问题 已 不 可 小 视 地 
渗透 到 社会 生活 的 各 个 领域 .影响 到 社会 的 稳定 ,发展 及 国家 的 兴亡 。 信 息 安 全 已 成 为 信 
息 系统 应 用 和 发 展 的 普遍 需求 。 

影响 信息 正常 存储 .传输 和 使 用 :以 及 不 良 信息 散布 的 问题 均 属于 信息 安全 问题 。 


1.3.1 信息 安全 问题 的 层次 


信息 安全 问题 可 划分 为 以 下 三 个 层次 。 

1. 信息 自身 的 安全 

这 个 层次 说 明 信 息 的 保密 性 、 完 整 性 、 可 控 性 、 可 用 性 、 不 可 否认 性 等 存在 的 问题 。 

2. 信息 系统 的 安全 

信息 从 产生 到 应 用 经 历 的 存储 传输 和 处 理 等 过 程 中 的 安全 问题 ,这 些 过 程 的 载体 构 
成 了 信息 系统 。 

3. 信息 自身 的 安全 与 信息 系统 的 安全 相互 关联 

这 里 有 两 个 方面 的 含义 : 一 是 信息 系统 的 损坏 直接 影响 信息 自身 的 安全 ;二 是 信息 
自身 的 安全 问题 也 会 波及 信息 系统 的 安全 。 
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1.3.2 信息 系统 的 安全 问题 


保障 信息 安全 的 任务 不 是 仅仅 依靠 技术 就 可 以 实现 的 , 它 是 自然 科学 .社会 科学 的 融 
合 。 随 着 全 球 信 息 化 飞速 发 展 , 大 量 的 信息 系统 成 为 国家 关键 基础 设施 ,它们 已 成 为 国 
家 、 社 会 稳定 .和 谐 发 展 的 重要 支撑 。 然 而 ,信息 系统 在 建设 .运行 .维护 各 个 过 程 都 面临 
着 严峻 的 安全 威胁 ,存在 各 种 各 样 的 安全 问题 。 

1. 自然 破坏 带 来 的 安全 问题 

自然 破坏 是 不 可 抗拒 的 自然 事件 ,如 地 震 、 洪 灾 、 雪 灾 和 火灾 等 各 种 自然 灾害 。 这 类 
威胁 发 生 的 概率 相对 较 低 ,与 一 个 机 构 、 组 织 或 部 门 所 处 的 自然 环境 密切 相关 。 

2. 人 为 操作 带 来 的 安全 问题 

通常 人 为 带 来 的 安全 事件 发 生 的 概率 高 , 带 来 的 损失 大 。 可 以 将 其 分 为 意外 性 安全 
问题 与 有 意 性 安全 问题 。 

意外 性 安全 问题 是 由 诸多 不 确定 因素 (如 人 员 政 忽 大 意 带 来 的 程序 设计 错误 、 误 操 
作 , 无 意 中 损坏 和 无 意 中 泄密 等 ) 偶 发 产生 的 。 信 息 系 统 建设 需要 经 历 调 研 、 规 划 , 设 计 、 
选 型 .实施 和 验收 等 过 程 ,在 任何 一 个 环节 稍 有 大 意 都 会 给 系统 安全 带 来 意外 的 威胁 ,如 
系统 调研 .规划 阶段 由 于 没有 全 面 考虑 安全 因素 而 带 来 的 系统 安全 设计 缺陷 ;程序 设计 开 
发 过 程 中 的 BUG 所 带 来 的 安全 问题 。 在 系统 的 使 用 与 维护 过 程 中 ,由 于 工作 人 员 的 使 
用 不 当 及 维护 不 全 面 ,同样 也 会 带 来 一 些 潜在 的 意外 威胁 ,如 系统 配置 错误 带 来 的 安全 隐 
患 , 它 给 黑客 及 病毒 人 侵 带 来 了 便利 。 

有 意 性 安全 问题 是 攻击 者 利用 系统 弱点 主动 攻击 、 破 坏 系统 而 产生 。 无 论 是 信息 系 
统 建设 过 程 , 还 是 其 运用 、 维 护 过 程 中 ,都 面临 各 种 各 样 主动 攻击 。 

3. 网 络 安全 

网 络 是 信息 系统 的 重要 组 成 部 分 。 网 络 安全 问题 越 来 越 多 地 成 为 方方面面 关注 的 焦 
点 问题 。 从 根本 上 说 ,网 络 的 安全 隐患 都 是 利用 了 网 络 系统 本 身 存 在 的 安全 弱点 ,在 使 
用 、 管 理 过 程 中 的 失误 和 朴 漏 更 加 剧 了 问题 的 严重 性 。 

不 同 的 人 对 网 络 安全 的 定义 不 同 , 一 般 上 网 的 使 用 者 关心 的 是 连 上 任何 一 台 服 务 器 
时 ,客户 端的 计算 机 会 不 会 被 人 侵 或 是 资料 被 窃取 的 问题 。 而 网 站 管理 员 关注 的 则 是 处 
理 服务 器 端的 网 络 安全 问题 ,如 何 避 免 或 延缓 黑客 的 阻 断 攻击 行为 或 是 如 何 保护 网 站 使 
用 者 的 资料 不 被 窃取 。 进 行 信息 流通 的 企业 之 间 、 经 营 电子 商店 的 企业 和 上 网 消费 的 使 
用 者 之 间 所 关心 的 , 则 是 如 何 有 效 运用 安全 的 交易 平台 与 加 密 解 密 技 术 ,来 避免 文件 资料 
被 窃取 以 及 网 络 诈 其 等 行为 的 发 生 。 


1.3.3 信息 安全 问题 分 类 


1. 按 安全 问题 产生 的 来 源 分 类 

(1) 内 部 攻击 问题 。 它 包括 内 部 人 员 窃 取 秘密 信息 、 攻 击 信息 系统 等 。 

(2) 外 部 攻击 问题 。 它 包括 外 部 黑客 攻击 、 信 息 间谍 攻击 等 。 

2. 按 安全 攻击 类 型 分 类 

(1) 冒充 攻击 。 冒 充 是 一 个 实体 假装 成 另 一 个 不 同 实体 的 攻击 。 它 常 与 其 他 攻击 形 
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式 一 起 使 用 ,获取 额外 权限 。 例 如 ,冒充 主机 欺骗 合法 主机 及 合法 用 户 ;冒充 系统 控制 程 
序 套 取 及 修改 使 用 权限 ,以 及 越权 使 用 系统 资源 、 占 用 合法 用 户 资源 。 

(2) 重 放 攻击 。 攻 击 者 为 了 非 授 权 使 用 资源 ,截取 并 复制 信息 ,在 必要 时 重 发 该 信 
息 。 例 如 , 非 授 权 实 体重 发 授权 实体 身份 鉴别 信息 ,证 明 自己 是 授权 实体 以 获得 合法 用 户 
权限 




















(3) 算 改 攻击 。 非 法 改变 信息 流 的 次 序 、 时 序 及 流向 ,更 改 信息 的 内 容 及 形式 ,破坏 
信息 的 完整 性 。 

(4) 抵赖 攻击 。 发 信者 ,接收 者 事后 否认 曾 发 送 或 接收 过 消息 。 

(5) 非法 访问 。 未 经 授权 使 用 信息 资源 。 

(6) 窃取 攻击 。 攻 击 者 非法 偷窃 秘 密 信息 。 

(7) 截 收 攻击 。 攻 击 者 通过 搭 线 或 在 电磁 波 辐射 范围 内 安装 截 收 装置 等 方式 截获 秘 
密 信息 ,或 通过 对 信息 流量 和 流向 .通信 频率 等 参数 分 析 推 新 有 效 信息 。 

(8) 特洛伊 木马 攻击 。 特 洛 伊 木 马 程序 是 一 种 实际 上 或 表面 上 有 某 种 有 用 功能 的 程 
序 , 它 内 部 含有 隐蔽 代码 , 当 其 被 调用 时 会 产生 一 些 意 想不到 的 后 果 , 例 如 获取 文件 的 访 
问 权 限 、 非 法 窃取 信息 等 。 

(9) 拒绝 服务 攻击 。 当 一 个 实体 不 能 执行 正常 功能 ,或 其 行为 妨碍 其 他 实体 正常 功 
能 时 , 便 产生 拒绝 服务 。 拒 绝 服 务 攻 击破 坏 系 统 的 可 用 性 ,使 合法 用 户 不 能 正常 访问 系统 
资源 ,服务 不 能 及 时 响应 。 

(10) 计算 机 病毒 攻击 。 计 算 机 病毒 是 以 自我 复制 为 明确 目的 的 代码 , 它 附着 于 宿主 
程序 ,试图 破坏 计算 机 功能 或 毁坏 数据 ,进而 影响 计算 机 的 使 用 。 

3. 按照 网 络 安全 问题 的 成 因 分 类 

1) 软件 本 身 设 计 不 良 或 系统 设计 上 的 缺陷 

(1) 软件 本 身 设计 不 良 。 也 就 是 俗称 的 软件 有 漏洞 ,例如 使 用 IE 浏览 器 ,因为 其 本 
身 设计 上 的 疏失 ,使 得 别人 很 容易 就 可 以 取得 一 些 用 户 的 重要 信息 。 这 也 就 是 为 什么 大 
家 常常 会 在 Microsoft Windows Update 网 站 上 看 到 某 软 件 的 修正 程序 , Windows NT 
Server 常常 会 推出 所 谓 的 Service Pack 的 原因 。 

(2) 系统 设计 上 的 缺陷 。 应 用 程序 或 系统 毕竟 是 人 写 出 来 的 ,所 谓 智者 千 虑 , 必 有 一 
失 , 软 件 工程 师 想 的 再 怎么 严密 ,系统 工程 师 再 怎么 严谨 ,实际 应 用 在 充满 陷阱 和 恶意 人 
侵 的 互联 网 络 上 时 , 仍 难 免 会 给 黑客 有 机 可 乘 的 空隙 。 因 此 ,在 系统 设计 时 须 特 别 注意 ， 
并 配合 其 他 防护 措施 ,以 确保 网 络 的 安全 性 。 

2) 使 用 者 习惯 及 方法 不 正确 

(1) 口令 设置 不 合理 。 很 多 MIS 或 网 管 人 员 在 设置 UNIX 中 的 root 与 NT 中 
administrator 的 口令 时 ,通常 不 设 口令 或 用 很 简单 .很 好 记 的 口令 , 像 是 abc、123 或 是 公 
司 名 称 等 ,这 使 得 保护 系统 的 第 一 层 使 用 者 认证 .有 跟 没有 一 样 ,而 系统 管理 者 的 读 写 权 
限 又 较 一 般 使 用 者 大 ,一旦 被 和 人 侵 ,后 果 不 堪 设想 。 

(2) 轻易 开启 来 历 不 明 的 档案 。 收 到 来 历 不 明 的 人 寄 来 电邮 附件 ,也 不 管 是 什么 档 
案 就 开启 执行 。 有 些 附 件 是 计算 机 病毒 的 隐藏 ,一 旦 执行 ,后 果 不 堪 设想 ;有 时 则 是 档案 
本 身 藏 有 特洛伊 木马 程序 ,和 人 侵 者 轻 轻松 松 地 进入 系统 , 透 过 这 个 程序 便 可 以 从 远程 掌控 
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被 侵 计算 机 ,只 要 该 机 联网 在 网 络 上 ,黑客 便 随 时 可 以 把 系统 中 重要 的 信息 窃 走 。 

3) 网 络 防护 不 严谨 

除了 网 际 网 络 与 计算 机 系统 本 身 的 安全 威胁 外 .经营 者 对 网 际 网 络 的 认识 不 足 ,往往 
也 会 让 系统 出 现 安全 漏洞 而 不 自觉 。 例 如 在 公司 的 网 站 和 内 部 网 络 间 不 架设 防火 墙 ,或 
是 企业 经 营 者 由 于 不 了 解 网 络 技术 ,认为 只 要 装 设防 火 墙 便 可 安全 无 眶 ,那么 就 有 可 能 忽 
略 其 他 安全 上 的 问题 。 事 实 上 ,防火 墙 对 于 单纯 的 网 络 安全 应 用 或 许 足 够 ,但 并 非 绝对 安 
全 ,尤其 是 当 网 站 服务 越 来 越 多 时 ,安全 漏洞 也 将 接 中 而 至 。 

面 对 纷 繁 的 信息 安全 问题 ,各 种 信息 安全 技术 相继 出 现 。 为 了 降低 安全 攻击 带 来 的 
损害 ,人 们 不 断 用 各 种 技术 封 堵 系统 漏洞 。 然 而 ,这 样 做 并 不 能 从 根本 上 解决 问题 , 咕 须 
从 安全 体系 的 整体 高 度 开展 研究 工作 。 宏 观 安全 体系 研究 能 够 为 解决 我 国信 息 安全 问题 
提供 整体 的 理论 指导 和 基础 构件 支撑 ,并 为 信息 安全 工程 黄 定 坚实 基础 。 





1.4 信息 安全 工程 概述 


1.4.1 信息 安全 工程 的 基本 概念 


信息 安全 的 概念 经 历 了 一 个 漫长 的 历史 。 从 信息 的 保密 性 (保证 信息 不 泄漏 给 未 经 
授权 的 人 ) 拓 展 到 信息 的 完整 性 (防止 信息 被 未 经 授权 者 算 改 ,保证 真实 的 信息 从 真实 的 
信 源 无 失真 地 到 达 真 实 的 信和 宿 ) .信息 的 可 用 性 (保证 信息 及 信息 系统 确实 为 授权 使 用 者 
所 用 ,防止 由 于 计算 机 病毒 或 其 他 人 为 因素 造成 的 系统 拒绝 服务 ,或 为 敌手 可 用 ) ,信息 的 
可 控 性 (对 信息 及 信息 系统 实施 安全 监控 管理 ) 和 信息 的 不 可 否认 性 (保证 信息 行为 人 不 
能 否认 自己 的 行为 ) 等 。 从 早期 的 安全 就 是 杀毒 防毒 ,再 到 安装 防火 墙 以 及 购买 系列 安全 
产品 ,直至 开始 重视 安全 体系 的 建设 ,人 们 对 安全 的 理解 正在 一 步 一 步 地 加 深 , 将 信息 安 
全 保障 问题 作为 一 个 系统 工程 来 考虑 和 对 待 的 工作 正在 逐步 开展 。 

信息 安全 需要 "攻防 测控 , 管 . 评 "等 多 方面 的 基础 理论 及 技术 。 信 息 安全 保障 问 
题 的 解决 既 不 能 只 依靠 纯粹 的 技术 ,也 不 能 靠 简单 安全 产品 的 堆砌 , 它 要 依赖 于 复杂 的 系 
统 工程 一 一 信息 安全 工程 。 信 息 安 全 工程 是 系统 工程 的 一 个 子 集 , 系统 工程 的 原理 适用 
于 信息 安全 工程 的 开发 ,集成 .运行 .管理 ,维护 和 演变 。 
国际 标准 化 组 织 (ISO) 将 信息 安全 定义 为 :“ 为 数据 处 理 系 统 建 立 和 采取 的 技术 和 管 
理 的 安全 保护 ,保护 计算 机 硬件 .软件 和 数据 不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 ,更 改 和 

从 以 计算 机 为 核心 的 信息 系统 形态 和 运行 过 程 出 发 ,可 把 信息 安全 分 为 实体 安全 、 运 
行 安全 数据 安全 和 管理 安全 四 个 方面 。 

(1) 实体 安全 是 指 保 护 计算 机 设备 、 设 施 ( 含 网 络 ) 以 及 其 他 媒体 免 遭 地 震 , 水 灾 、 火 
灾 、 有 害 气 体 和 其 他 环境 事故 (如 电磁 污染 等 ) 破 坏 的 措施 、 过 程 。 

(2) 运行 安全 是 指 为 保障 系统 功能 的 安全 实现 ,提供 一 套 安全 措施 (如 安全 评估 、 审 
计 跟 踪 、 备 份 与 恢复 .应急 措施 等 ) 来 保护 信息 处 理 过 程 的 安全 。 

(3) 数据 安全 是 指 防止 数据 资源 被 故意 或 偶然 的 非 授权 泄露 .更改 .破坏 ,或 使 敏感 
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数据 被 非法 系统 辨识 .控制 和 和 否认, 即 确保 信息 的 完整 性 .保密 性 、. 可 用 人 性、 可 控 性 和 不 可 
否认 性 。 

(4) 管理 安全 是 指 以 有 关 的 法 律 法 令 和 规章 制度 以 及 安全 管理 手段 ,确保 系统 安全 
生存 和 和 运营。 管理 手段 是 对 安全 服务 和 安全 机 制 进行 管理 ,把 管理 信息 分 配 到 有 关 的 安 
全 服务 和 安全 机 制 中 去 ,并 收集 与 其 操作 有 关 的 信息 。 

信息 安全 工程 是 基于 以 上 基本 概念 ,采用 工程 的 概念 ,原理 ,技术 和 方法 ,来 研究 、 开 
发 .实施 与 维护 信息 系统 安全 的 过 程 ,是 将 经 过 时 间 考 验证 明 是 正确 的 工程 实施 流程 , 管 
理 技术 和 当前 能 够 得 到 的 最 好 的 技术 方法 相 结 合 的 过 程 。 

信息 安全 工程 具有 清晰 的 研究 范畴 ,具体 包括 信息 安全 工程 的 目标 .原则 与 范围 , 信 
息 安 全 风险 分 析 与 评估 的 方法 .手段 .流程 ,信息 安全 需求 分 析 方法 ,安全 策略 ,安全 体系 
结构 ,安全 实施 领域 及 安全 解决 方案 ,安全 工程 的 实施 规范 ,安全 工程 的 测试 与 运行 ,安全 
意识 的 教育 与 技术 培训 ,应 急 响 应 技术 方法 与 流程 等 。 

既然 是 系统 工程 ,那么 就 要 用 系统 工程 的 观点 、 方 法 来 对 待 和 处 理 信息 安全 问题 。 安 
全 体系 结构 的 设计 与 安全 解决 方案 的 提出 必须 基于 信息 安全 工程 理论 。 因 此 ,对 信息 系 
统 建设 部 门 来 说 ,在 建立 与 实施 企业 级 的 信息 与 网 络 系统 安全 体系 时 ,必须 考虑 信息 安全 
的 方方面面 ,必须 兼顾 信息 网 络 的 风险 评估 与 分 析 .安全 需求 分 析 ,整体 安全 策略 .安全 模 
型 ,安全 体系 结构 的 开发 .信息 网 络 安全 的 技术 标准 规范 的 制定 、 信 息 网 络 安全 工程 的 实 
施 与 监理 、 信 息 网 络 安全 意识 的 教育 与 技术 的 培训 等 各 个 方面 ;对 工程 实施 单位 来 说 , 必 
须 严格 按照 信息 安全 工程 的 过 程 ,规范 进行 实施 ;对 管理 部 门 来 说 ,建议 采用 信息 安全 工 
程 能 力 成 熟 度 (SSE-SSM) 对 信息 系统 建设 部 门 安 全 工程 的 质量 、 安 全 工程 实施 单位 的 实 
施 能 力 进行 评估 。 只 有 这 样 才能 实现 真正 意义 上 的 信息 系统 的 安全 。 

随 着 人 类 信息 化 的 飞速 发 展 , 信 息 革命 和 计算 机 在 社会 各 个 层面 的 引入 使 人 类 生活 
发 生 了 翻天 覆 地 的 变化 。 信 息 已 成 为 代表 综合 国力 的 战略 资源 ,信息 安全 已 成 为 保证 国 
民 经 济 信息 化 进程 健康 有 序 发 展 的 基础 ,直接 关系 到 国家 的 安全 ,影响 重大 。 站 在 信息 安 
全 工程 的 高 度 上 来 全 面 构建 和 规范 信息 安全 ,将 大 大 地 加 强 新 建 和 已 建 信 息 系统 的 安全 ， 
进而 保障 国家 信息 资源 的 安全 。 


1.4.2 信息 安全 工程 建设 流程 


所 谓 工 程 , 是 将 自然 科学 的 理论 应 用 到 具体 工农 业 生 产 部 门 中 形成 的 各 学 科 的 总 称 
或 用 较 大 而 复杂 的 设备 来 进行 的 工作 ,例如 水 利 工程 等 。 

1. 一 般 意义 的 工程 建设 应 该 具备 的 流程 

。 编制 工程 建议 书 或 项 目 任务 书 ， 
组 织 工程 项 目 建设 的 可 行 性 研究 ,提出 可 行 性 研究 报告 ,并 按 规定 报 计 划 部 门 ， 
。 确定 工程 项 目 建设 监理 单位 ; 
进行 初步 设计 ,经 费 超 过 一 定数 目的 项 目的 初步 设计 也 应 该 按 招 标 方式 确定 设计 
单位 ,初步 设计 方案 应 该 经 审核 并 抄 送 计划 部 门 ; 
确定 开发 方 (承建 商 ) 单 位 ,编制 工程 项 目 方案 ; 





第 1 章 信息 安全 工程 基础 


。 工程 实施 建设 ; 

。 工 程 验收 及 维护 等 过 程 。 

2. 信息 安全 工程 建设 的 流程 

信息 安全 工程 也 是 一 种 复杂 的 工作 ,一 种 重要 的 工程 ,同样 包括 复杂 的 建设 过 程 。 它 
是 一 项 涉及 产品 或 系统 整个 生命 周期 的 安全 工程 活动 ， 
包括 概念 定义 、 需 求 分 析 、 设 计 、 开 发 集成. 安装、 运行 、 
维护 和 终止 等 过 程 。 信 息 安 全 工程 建设 包括 风险 分 析 评 





风险 分 析 与 评估 | 一 一 
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安全 需求 分 析 
估 , 安 全 需求 分 析 ,制定 安全 策略 ,安全 体系 设计 ,安全 工 ] 
程 实施 .安全 工程 监理 等 过 程 ,如 图 1-5 所 示 。 
1) 风险 分 析 与 评估 T 
安全 风险 是 一 种 潜在 的 、 负 面 的 东西 ,处 于 未 发 生 状 全 体系 设计 





态 。 信 息 系 统 安全 风险 是 指 信息 系统 存在 的 脆弱 性 导致 
信息 安全 事件 发 生 的 可 能 性 及 其 造成 的 影响 。 信 息 安全 | 安全 工程 监理 



































风险 评估 就 是 对 信息 系统 及 其 处 理 、 传 输 和 存储 信息 的 | 
保密 性 、 完 整 性 及 可 用 性 等 安全 属性 进行 科学 识别 和 安全 工程 实施 
评价 。 图 1-5 信息 安全 工程 工作 流程 


风险 评估 可 从 对 现行 信息 系统 风险 分 析 入 手 , 采 用 
有 效 的 风险 分 析 方 法 ,明确 系统 保护 的 资产 , 找 出 系统 弱点 及 威胁 ,度量 安全 风险 。 其 中 ， 
明确 保护 的 资产 ,资产 的 位 置 及 重要 性 是 安全 风险 分 析 的 关键 。 基 于 对 关键 资产 的 确认 ， 
系统 管理 员 ,操作 者 及 安全 专家 对 系统 脆弱 性 进行 评估 ,识别 风险 。 明 确 存在 的 弱点 及 漏 
洞 的 风险 级 别 ,分 析 资 产 面临 的 威胁 ,发生 的 可 能 性 及 造成 的 影响 ,并 对 其 进行 量化 分 析 。 

2) 安全 需求 分 析 

安全 需求 是 为 保护 信息 系统 安全 对 必须 完成 的 工作 的 全 面 描述 ,是 详细 全面、 系统 
的 工作 规划 。 安 全 需求 是 系统 设计 ,建设 ,使 用 ,评估 和 监管 的 标准 和 依据 。 安 全 需求 的 
提出 应 针对 风险 分 析 的 结果 .参照 国家 标准 \ 行 业 标 准 , 并 遵循 有 关 法 律 .法规 及 政府 部 门 
文件 。 安 全 需求 是 不 断 更 新 的 ,安全 需求 分 析 过 程 与 系统 同步 发 展 。 

3) 制定 安全 策略 

安全 策略 是 为 发 布 ,管理 及 保护 敏感 信息 资源 而 制定 的 法 律 \ 法 规 及 措施 的 综合 ,是 
对 信息 资源 使 用 及 管理 规则 的 正式 描述 ,是 内 部 成 员 必 须 遵守 的 规则 。 安 全 策略 的 制定 
者 根据 对 信息 系统 风险 分 析 的 结果 ,结合 安全 目标 及 安全 需求 ,提出 系统 的 安全 策略 , 它 
可 以 包括 物理 安全 策略 、 网 络 安全 策略 ,应 用 安全 策略 及 管理 安全 策略 等 。 安 全 策略 必须 
包括 安全 保护 的 内 容 、 方 法 及 手段 ,安全 保护 的 责任 ,分 工 , 出 现 安全 问题 所 采取 的 应 对 措 
施 及 后 果 处 理 方法 。 安 全 策略 应 简洁 、 可 实施 、 可 操作 。 

4) 安全 体系 设计 

信息 系统 应 有 全 方位 \ 综 合 性 的 安全 保护 。 多 层 的 安全 防护 构成 整体 安全 框架 ,但 系 
统 受 到 侵害 时 ,各 安全 防御 层次 分 级 阻止 违规 行为 ,保护 系统 ,实现 一 体 化 安全 系统 。 

5) 安全 工程 实施 

在 设计 的 安全 体系 框架 的 基础 上 ,提出 相应 的 安全 服务 .安全 机 制 , 及 所 要 采用 的 安 
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全 技术 及 产品 。 例 如 ,身份 认证 ,数字 签名 ,加密 、 信 息 隐 藏 和 网 络 监 测 及 隔离 等 技术 以 及 
防火 墙 、 身份 认证 系统 ,访问 控制 系统 和 安全 监控 系统 等 安全 产品 。 信 息 安 全 工程 实施 遵 
从 经 济 ,高 效 与 公开 公正、 公平 的 原则 。 

6) 安全 工程 监理 

工程 的 实施 过 程 需要 严格 的 工程 监理 制度 。 安 全 工程 监理 需要 从 工程 的 规范 .流程 、 
进度 等 方面 进行 监督 和 检查 。 安 全 监理 单位 或 个 人 须 为 第 三 方 中 立 机 构 或 个 人 ,这 样 才 
能 保证 项 目 真正 按照 合理 流程 与 技术 标准 进行 ,保证 工程 招标 过 程 、 项 目 实施 过 程 的 公正 
性 及 科学 性 。 


1.4.3 安全 工程 的 生命 周期 


信息 安全 既 不 是 纯粹 的 技术 ,也 不 是 简单 的 安全 产品 堆砌 ,而 是 一 项 复杂 的 系统 工 
程 一 一 信息 安全 工程 。 它 是 采用 工程 的 概念 .原理 ,技术 及 方法 ,研究 、 开 发 .实施 和 维护 
信息 系统 安全 的 过 程 。 它 是 将 经 过 时 间 考 验证 明 是 正确 的 工程 实施 流程 ,管理 技术 和 当 
前 能 够 得 到 的 最 好 的 技术 方法 相 结合 的 过 程 。 

安全 工程 的 生命 周期 主要 包括 以 下 阶段 。 

1. 发 掘 信息 保护 需求 

依据 用 户 单位 的 性 质 、 目 标 \ 任 务 以 及 存在 的 安全 威胁 确定 安全 需求 ,例如 支持 多 种 
信息 安全 策略 需求 .使 用 开放 系统 需求 ,支持 不 同安 全 保护 等 级 需求 ,使 用 公共 通信 系统 
需求 等 。 信 息 系统 安全 工程 师 要 帮助 客户 理解 用 来 支持 其 业务 或 任务 的 信息 保护 的 需 
求 。 信 息 保护 需求 说 明 可 以 在 信息 保护 策略 中 记录 。 

2. 定义 系统 安全 要 求 

信息 系统 安全 工程 师 要 将 信息 保护 需求 分 配 到 系统 中 。 系 统 安全 的 背景 环境 、 概 要 
性 的 系统 安全 以 及 基线 安全 要 求 均 应 得 到 确定 。 

3. 设计 系统 安全 体系 结构 

信息 系统 安全 工程 师 要 与 系统 工程 师 合 作 ,一 起 分 析 待 建 系统 的 体系 结构 ,完成 功能 
的 分 析 和 分 配 , 同 时 分 配 安全 服务 ,并 选择 安全 机 制 。 信 息 系统 安全 工程 师 还 应 确定 安全 
系统 的 组 件 或 要 素 ,将 安全 功能 分 配给 这 些 要素 , 并 描述 这 些 要素 间 的 关系 。 

4. 开展 详细 的 安全 设计 

信息 系统 安全 工程 师 应 分 析 设计 约束 ,均衡 取舍 ,完成 详细 的 系统 和 安全 设计 ,并 考 
虑 生命 周期 的 支持 。 信 息 系统 安全 工程 师 应 将 所 有 的 系统 安全 要 求 跟踪 至 系统 组 件 , 直 
至 无 一 遗漏 。 最 终 的 详细 安全 设计 结果 应 反映 出 组 件 和 接口 规范 ,为 系统 实现 时 的 采 办 
工作 提供 充分 的 信息 。 

5. 实现 系统 安全 

信息 系统 安全 工程 师 要 参与 到 对 所 有 的 系统 问题 进行 的 多 学 科 检 查 之 中 ,并 向 认证 
与 认可 过 程 活动 提供 输入 ,例如 检验 系统 是 否 已 经 针对 先前 的 威胁 评估 结果 实施 了 保护 ， 
跟踪 系统 是 否 实现 和 测试 活动 中 的 信息 保护 保障 机 制 , 是 否 向 系统 的 生命 周期 支持 计划 、 
运行 流程 以 及 维护 培训 材料 提供 输入 。 
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6. 评估 信息 保护 的 有 效 性 


信息 系统 安全 工程 师 要 关注 信息 保护 的 有 效 性 : 系统 是 否 能 够 为 其 任务 所 需 的 信息 
提供 保密 性 ,完整 性 、 可 用 性 ,鉴别 和 不 可 否认 性 。 


1.4.4 安全 工程 的 特点 


信息 安全 工程 的 特点 带 来 了 信息 安全 工程 的 诸多 特性 。 

1. 全 面 性 

信息 安全 问题 需要 全 面 考虑 ,系统 安全 程度 取决 于 系统 最 薄弱 的 环节 。 信 息 安全 的 
全 面 性 带 来 了 安全 工程 的 全 面 性 。 

2. 过 程 性 与 周期 性 

信息 安全 具有 过 程 性 或 生命 周期 性 。 一 个 完整 的 安全 过 程 至 少 应 包括 安全 目标 与 原 
则 的 确定 .风险 分 析 、 需 求 分 析 、 安 全 策略 研究 .安全 体系 结构 的 研究 .安全 实施 领域 的 确 
定 、 安 全 技术 与 产品 的 测试 与 选 型 .安全 工程 的 实施 ,安全 工程 的 实施 监理 \ 安 全 工程 的 测 
试 与 运行 .安全 意识 的 教育 与 技术 培训 \ 安 全 稽核 与 检查 以 及 应 急 响 应 等 ,这 个 过 程 是 一 
个 完整 的 信息 安全 工程 的 生命 周期 ,经 过 安全 稽核 与 检查 后 ,又 形成 新 一 轮 的 生命 周期 ， 
是 一 个 不 断 往 复 、 不 断 上 升 的 螺旋 式 安全 模型 。 

3. 动态 性 

信息 安全 工程 具有 动态 性 。 信 息 技术 在 发 展 ,黑客 水 平 也 在 提高 ,安全 策略 、 安 全 体 
系 、 安 全 技术 也 必须 动态 地 调整 ,在 最 大 程度 上 使 安全 系统 能 够 跟 上 实际 情况 的 变化 ,发 
挥 效 用 ,使 整个 安全 系统 处 于 不 断 更 新 、 不 断 完善 .不断 进步 的 动态 过 程 中 。 

4. 层次 性 

信息 安全 工程 具有 层次 性 。 需 要 用 多 层次 的 安全 技术 、 方 法 与 手段 ,分 层次 地 化 解 安 
全 风险 。 

5. 相对 性 

信息 安全 具有 相对 性 ,信息 安全 工程 也 具有 相对 性 。 安 全 是 相对 的 ,没有 绝对 的 安全 
可 言 。 安 全 措施 应 该 与 保护 的 信息 与 网 络 系统 的 价值 相称 。 因 此 ,实施 信息 安全 工程 要 
充分 权衡 风险 威胁 与 防御 措施 的 利弊 与 得 失 , 在 安全 级 别 与 投资 代价 之 间 取 得 一 个 信息 
系统 建设 部 门 能 够 接受 的 平衡 点 。 这 样 实施 的 安全 才 是 真正 的 安全 。 

6. 继承 性 

信息 安全 工程 具有 继承 性 。 网 络 的 普及 突显 了 信息 安全 的 重要 性 ,然而 在 网 络 普 及 
之 前 ,信息 安全 问题 早已 存在 ,是 人 们 关心 的 热点 。 在 计算 机 以 外 的 其 他 领域 ,积累 了 许 
多 从 系统 工程 角度 出 发 维护 信息 安全 的 方法 与 经 验 , 在 情况 复杂 的 信息 时 代 , 信 息 安 全 内 
涵 不 断 扩展 ,方法 与 经 验 不 断 继承 与 发 展 。 

信息 系统 安全 工程 涉及 一 个 综合 的 系统 工程 环境 中 的 各 个 方面 , 它 不 是 一 个 独立 的 
过 程 ,而 是 集成 在 信息 系统 生命 周期 内 的 各 个 阶段 。 通 过 对 信息 系统 生命 期 中 各 个 安全 
工程 活动 的 确认 、 评 估 , 消 除 ( 或 控制 ) 已 知 的 或 假定 的 安全 威胁 可 能 引起 的 系统 风险 ,最 
终 将 得 到 一 个 可 以 接受 的 安全 风险 等 级 。 
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本 章 小 结 


本 章 着 重 介绍 信息 安全 、 信 息 安全 工程 等 基本 概念 ,从 信息 系统 建设 及 其 存在 的 信息 
安全 问题 出 发 ,阐述 提出 信息 安全 工程 的 重要 性 ,并 分 析 信息 安全 工程 建设 流程 .生命 周 
期 及 信息 安全 工程 特点 。 本 章 介绍 的 信息 安全 工程 基本 概念 、 基 本 理论 为 后 续 内 容 的 学 
习 竟 定 了 基础 。 


习 题 


. 什么 是 信息 安全 ? 什么 是 信息 安全 工程 ? 

.从 安全 工程 的 角度 出 发 ,分 析 如 何 构建 一 个 安全 信息 系统 。 

.对 比分 析 信 息 系 统 建设 生命 周期 和 安全 工程 的 生命 周期 。 

.结合 信息 系统 建设 及 信息 安全 保障 的 特点 ,分 析 安 全 工程 特点 。 

. 结合 目前 面临 的 信息 安全 问题 ,分 析 在 信息 建设 中 应 该 注意 哪些 问题 。 


an mc 
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学 习 目 标 

。 了 解 系统 工程 的 概念 、 产 生 与 发 展 ; 
。 了 解 信 息 安全 系统 工程 的 概念 ; 

。 掌握 信息 安全 系统 工程 的 过 程 。 


2.1 信息 安全 系统 工程 概述 


2.1.1 信息 安全 系统 工程 的 概念 


“信息 安全 工程 与 “信息 安全 系统 工程 ”这 两 个 名 词 究竟 是 什么 关系 呢 ? 首先 来 看 信 
息 安全 工程 ,“ 信 息 安 全 ”这 四 个 字 我 们 是 非常 熟悉 的 ,可 后 面 加 了 “工程 ”两 个 字 , 可 能 就 
觉得 不 太 容易 理解 ,不 明白 是 干什么 的 ,其 实 * 工 程 " 简 单 地 说 就 是 搞 建 设 ,“ 信 息 安 全 工 
程 ” 就 是 研究 如 何 建 设 信息 安全 系统 ,例如 建设 哪些 东西 ,如 何 去 建 设 , 建 设 的 系统 和 要 求 
是 否 是 一 致 等 ,都 需要 有 一 种 方法 来 指导 我 们 ,信息 安全 系统 工程 (Information Security 
System Engineering,ISSE) 就 是 这 样 一 种 方法 ,从 名 字 就 可 以 看 出 , 它 是 在 “信息 安全 ”的 
后 面 加 上 了 “系统 工程 ”这 四 个 字 , 系 统 工程 是 一 种 方法 论 ,可 以 指导 如 何 建设 和 开发 一 个 
系统 ,在 系统 工程 的 实践 过 程 中 ,由 于 信息 安全 问题 日 益 突 出 ,使 得 在 建设 系统 的 过 程 中 ， 
不 得 不 考虑 建设 相应 的 信息 安全 系统 ,因此 就 诞生 了 信息 安全 系统 工程 ,就 是 借鉴 系统 工 
程 的 思想 和 方法 ,来 指导 信息 安全 系统 的 建设 。 所 以 信息 安全 系统 工程 是 系统 工程 在 实 
践 过 程 中 的 一 种 自然 扩展 。 

信息 系统 安全 工程 是 美国 军 方 在 20 世纪 90 年 代 初 发 布 的 信息 安全 工程 方法 ,反映 
ISSE 成 果 的 主要 文献 是 1994 年 出 版 的 (信息 系统 安全 工程 手册 v1. 0》。ISSE 将 有 助 于 
开发 可 满足 用 户 信息 保护 需求 的 系统 产品 和 过 程 解决 方案 ,同时 ,ISSE 也 注重 标识 、 理 解 
和 控制 信息 保护 风险 并 对 其 进行 优化 。ISSE 行为 主要 用 于 以 下 情况 : 

。 确定 信息 保护 需求 ; 

。 在 一 个 可 以 接受 的 信息 保护 风险 下 满足 信息 保护 的 需求 ; 

。 根据 需求 ,构建 一 个 功能 上 的 信息 保护 体系 结构 ; 

。 根据 物理 体系 结构 和 逻辑 结构 分 配 信息 保护 的 具体 功能 ; 

。 设计 信息 系统 ,用 于 实现 信息 保护 的 体系 结构 ; 








Na 信息 安全 工程 
~ 
。 从 整个 系统 的 成 本 规划、 运行 的 适宜 性 和 有 效 性 综合 考虑 ,在 信息 保护 风险 与 其 
他 的 ISSE 问题 之 间 进 行 权 衡 ; 
。 参与 对 其 他 信息 保护 和 系统 工程 学 科 的 综合 利用 ; 
。 将 ISSE 过 程 与 系统 工程 和 采 办 过 程 相 结合 ; 
。 以 验证 信息 保护 设计 方案 并 确认 信息 保护 的 需求 为 目的 ,对 系统 进行 测试 ; 
。 根据 用 户 需 要 对 整个 系统 进行 扩充 和 裁剪 ,为 用 户 提供 系统 部 署 的 进一步 支持 。 
为 确保 信息 保护 能 被 平滑 地 纳入 整个 系统 ,必须 在 最 初 进行 系统 设计 时 便 考 虑 
ISSE。 此 外 ,要 在 与 系统 工程 相应 的 阶段 中 同时 考虑 信息 保护 的 目标 、 需 求 、 功 能 、 体 系 
结构 设计、 测试 和 实施 ,基于 对 特定 系统 的 技术 和 非 技术 考虑 ,使 信息 保护 得 以 优化 。 
下 面 来 看 几 个 生活 中 的 例子 ,看 看 都 存在 什么 问题 。 
在 图 2-1 中 有 幢 楼 ,楼 的 外 墙 处 坚 着 一 个 梯子 ,看 起 来 与 外 墙 很 不 协调 ,这 个 梯子 有 
什么 用 呢 ? 原来 这 是 一 个 门市 ,因为 消防 部 门 规定 , 商 住 楼 中 住宅 的 朴 散 楼 梯 应 独立 设 
置 。 所 以 这 家 门市 为 了 应 付 消防 检查 自行 搭建 了 一 个 消防 通道 ,这 个 梯子 就 是 消防 通道 。 
为 什么 会 这 样 呢 ? 原来 是 大 楼 在 设计 和 实施 时 没有 考虑 到 这 个 问题 ,楼 盖 完 了 , 才 发 现 有 
这 样 一 个 缺陷 ,这 必然 会 导致 成 本 的 上 升 和 安全 性 的 下 降 。 





图 2-1 楼 的 外 墙 梯子 


安全 工程 同样 如 此 ,在 进行 系统 建设 时 ,一 定 要 考虑 到 安全 因素 ,并 找到 成 本 和 安全 
性 等 因素 的 平衡 点 。 

再 来 看 一 个 例子 ,以 前 用 固定 电话 进行 刷卡 支付 这 个 应 用 很 火 ,和 现在 的 手机 支付 类 
似 ,可 以 足 不 出 户 的 缴纳 电话 费 、 水 费 、 电 费 .还 信用 卡 . 网 上 购物 ,还 可 以 订 飞 机 票 等 ， 
户 可 以 通过 其 网 站 查询 相关 的 付款 信息 ,为 了 建设 和 推广 这 个 项 目 , 中 国 银联 和 中 国电 信 
联手 投资 了 很 多 财力 和 物力 。 在 本 例 中 ,A 公司 开展 的 业务 应 用 背景 是 一 致 的 ,后 来 ,第 
三 方 在 测评 过 程 中 发 现 该 网 站 存在 注入 漏洞 ,会 泄露 用 户 的 交易 信息 。 出 现 了 这 样 的 问 
题 该 怎么 办 ? 当初 这 个 网 站 的 开发 是 外 包 的 ,再 去 找 那 个 开发 公司 ,结果 发 现 开发 此 网 站 
的 公司 已 经 倒闭 了 ,而 A 公司 的 技术 人 员 对 网 站 的 开发 情况 并 不 了 解 ,漏洞 无 法 消除 。 
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那 怎么 办 ? 公司 最 终 决 定 ,暂时 不 再 提供 网 上 交易 查询 服务 ,这 对 公司 ,肯定 会 带 来 不 好 
的 影响 。 请 想 一 想 , 这 里 面 涉及 哪些 问题 ?对 于 承担 外 包 项 目的 公司 是 不 是 要 严格 审查 ， 
建设 完 是 不 是 要 及 时 进行 测试 验收 ,是 不 是 还 应 该 保留 相关 的 资料 文档 ? 一 旦 发 生 问题 ， 
也 可 以 为 解决 方案 提供 一 定 的 参考 。 

在 讲解 信息 安全 系统 工程 之 前 ,需要 搞 清 几 个 “词语 "的 关系 : 信息 系统 、 业 务 应 用 信 
息 系 统 、 信 息 安全 系统 、 信 息 系统 工程 .业务 应 用 信息 系统 工程 .信息 安全 系统 工程 以 及 信 
息 系统 安全 和 信息 系统 安全 工程 。 它 们 的 彼此 关系 如 图 2-2 所 示 。 










两 个 独立 且 彼 此 
不 可 分 割 的 系统 


















































1 

| 业务 应 用 信息 系统 | 信息 安全 系统 | 
| | | 
1 1 1 
1 1 1 
| | | 
1 | 业务 应 用 信息 系统 工程 | 信息 安全 系统 工程 | | 
| | 
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图 2-2 几 个 词语 之 间 的 关系 示意 图 


信息 系统 : 又 叫做 信息 应 用 系统 、 信 息 应 用 管理 系统 、 管 理 信 息 系统 等 ,简称 MIS 
(Management Information System) 。 

由 于 信息 安全 的 迫切 需要 ,信息 安全 系统 ”已 经 从 信息 应 用 系统 中 脱颖而出 ,明确 地 
成 为 一 个 独立 存在 的 系统 ,这 已 经 是 不 争 的 事实 了 。 它 有 独立 立项 .独立 设计 、 独 立 施 工 
和 独立 评估 验收 并 独立 运营 的 诸多 特征 。 为 此 ,把 传统 的 信息 应 用 系统 明确 地 分 为 两 个 
部 分 : 信息 安全 系统 和 业务 应 用 信息 系统 。 

信息 安全 系统 服务 于 业务 应 用 信息 系统 并 与 之 密 不 可 分 ,但 又 不 能 混为一谈 。 信 息 
安全 系统 不 能 脱离 开业 务 应 用 信息 系统 而 存在 ,但 彼此 的 功能 、 操 作 流 程 、 管 理 方式 .人 员 
要 求 .技术 领域 等 都 完全 不 同 。 随 着 信息 化 的 深入 ,两 者 的 界限 越 来 越 明显 。 

但 是 ,信息 系统 的 叫 法 在 日 常生 活 中 还 存在 ,例如 我 们 说 建立 “国税 信息 系统 “公安 
信息 系统 “社保 信息 系统 "等, 一定 包 含 业务 应 用 信息 系统 和 信息 安全 系统 两 个 部 分 。 
在 强调 信息 安全 的 时 候 ,更 应 该 明确 界定 两 者 的 关系 。 这 样 做 , 既 对 业务 运营 的 信息 
用 系统 的 建设 有 好 处 ,又 对 支撑 它 的 信息 安全 系统 建设 有 好 处 。 
信息 系统 工程 : 建造 信息 系统 的 工程 。 同 样 , 信 息 系统 工程 也 包括 两 个 独立 且 不 可 
分 割 的 部 分 : 信息 安全 系统 工程 和 业务 应 用 信息 系统 工程 。 

业务 应 用 信息 系统 : 支撑 业务 运营 的 计算 机 应 用 信息 系统 ,如 银行 柜台 业务 信息 系 
统 、 国 税 征收 信息 系统 等 。 





中 
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业务 应 用 信息 系统 工程 : 为 了 达到 建设 好 “业务 应 用 信息 系统 "所 组 织 实施 的 工程 ， 
一 般 成 为 信息 系统 集成 项 目 工程 。 它 是 “信息 系统 工程 ”的 一 部 分 。 

信息 安全 系统 : 它 是 “信息 系统 ”的 一 个 部 分 , 它 的 正常 运营 是 为 了 保证 “业务 应 用 信 
息 系统 "的 正常 运营 。 业 界 又 称 为 信息 安全 保障 系统 ”。 现 在 人 们 已 经 明确 这 样 的 理念 : 
要 建立 一 个 “信息 系统 ”, 就 必须 要 建立 一 个 或 多 个 业务 应 用 信息 系统 和 一 个 信息 安全 
系统 。 

信息 安全 系统 工程 : 为 了 达到 建设 好 “信息 安全 系统 "的 特殊 需要 而 组 织 实施 的 工 
程 。 同 样 , 它 也 是 “信息 系统 工程 ”的 一 部 分 。 

容易 与 之 混淆 的 是 如 下 两 个 “词语 ”。 

信息 系统 安全 : 从 字面 上 理解 , 指 的 是 信息 系统 的 安全 。 在 前 面 的 介绍 (定义 ) 中 明 
确 说 明 : 信息 系统 的 安全 由 组 成 该 信息 系统 的 信息 安全 系统 所 保证 。 因 此 ,信息 系统 安 
全 不 是 一 个 另外 的 独立 存在 的 系统 ,而 信息 安全 系统 是 客观 的 ,独立 于 业务 应 用 信息 系统 
而 存在 的 信息 系统 。 

信息 系统 安全 工程 : 一 定 要 区 分 出 它 与 信息 安全 系统 工程 的 区 别 。 前 面 介 绍 中 已 经 
对 信息 安全 系统 和 信息 安全 系统 工程 做 出 界定 ,如 果 再 讲 信息 系统 安全 工程 , 则 只 能 限于 
如 下 的 语意 : 在 建设 信息 系统 的 工程 中 ,不 要 出 “漏电 漏水 ”“ 砍 伤 砸 伤 ”等 工程 事故 和 人 
身 事故 等 安全 事故 ,已 经 不 是 信息 系统 安全 工程 范畴 的 概念 了 。 

信息 安全 系统 工程 不 是 信息 系统 安全 工程 ,信息 安全 系统 大 体 划 分 为 三 种 架构 体系 ， 
简单 称 之 为 : MIS 十 S 系统 、S-MIS 系统 和 S2-MIS 系统 。S-MIS 系统 又 称 之 为 标准 的 信 
息 安全 保障 系统 。 顾 名 思 义 ,S-MIS 系统 一 定 是 “ 涉 密 ” 系 统 , 即 系统 中 一 定 要 用 到 “密码 ” 
和 “密码 设备 ”, 一 定 是 基于 PKI/CA 和 PKI/AA 建立 的 支撑 用 户 的 业务 应 用 信息 系统 的 
运营 。 

S-MIS 系统 外 围 安装 的 “安全 措施 和 安全 防范 设备 ”, 不 能 说 这 些 设备 S-MIS 系统 不 
需要 ,而 是 从 工程 实施 和 运营 管理 与 维护 来 看 ,它们 就 显得 太 简单 了 。 

1. 为 什么 要 研究 信息 安全 系统 工程 

信息 安全 系统 工程 就 是 要 建造 一 个 信息 安全 系统 , 它 是 整个 信息 系统 工程 的 一 部 分 ， 
而 且 是 与 业务 应 用 信息 系统 工程 同步 进行 的 (有 的 在 其 后 施工 建设 也 可 )。 但 它 的 内 容 主 
要 是 围绕 “信息 安全 ”的 内 容 , 如 : 信息 安全 风险 评估 、 信 息 安全 策略 制定 、 信 息 安 全 需求 
确定 、 信 息 安全 系统 总 体 设计 信息 安全 系统 详细 设计 信息 安全 系统 设备 选 型 .信息 安全 
系统 工程 招 投标 、 密 钥 密 码 机 制 确定 、 资 源 界定 和 授权 信息 安全 系统 施工 中 防 汇 密 问题 
和 施工 中 后 期 的 信息 安全 系统 测试 .运营 、 维 护 的 安全 管理 等 问题 。 这 些 问题 与 用 户 的 业 
务 应 用 信息 系统 建设 所 关注 的 问题 不 同 。 业 务 应 用 信息 系统 工程 主要 关注 的 是 客户 的 需 
求 .业务 流程 .价值 链 等 企业 的 业务 优化 和 改造 问题 。 相 比 之 下 ,当前 更 多 的 人 对 后 者 比 
较 熟悉 ,而 对 前 者 却 无 从 下 手 。 信 息 安全 系统 建设 所 关注 的 问题 恰恰 是 业务 应 用 信息 系 
统 正常 运营 所 不 能 缺少 的 。 

直到 20 世纪 末 , 随 着 国际 互联 网 信息 高 速 公路 的 畅通 和 国际 化 的 信息 交流 ,业务 大 
范围 扩展 ,信息 安全 的 风险 也 急剧 恶化 。 传 统 的 由 业务 应 用 信息 系统 解决 安全 的 方案 已 
经 不 能 胜任 ,由 操作 系统 、 数 据 库 系 统 、 网 络 管理 系统 来 解决 安全 问题 也 不 能 满足 实际 的 
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需要 ,因此 不 得 不 建立 独立 的 信息 安全 系统 。 

信息 安全 系统 是 一 门 新 兴 的 工程 实践 课题 。 与 国外 的 同行 相 比 ,我们 必须 加 强 对 信 
息 安 全 系统 工程 的 研究 ,规范 信息 交 全 系统 工程 建设 的 过 程 , 提 高 建设 信息 安全 系统 工程 
的 成 熟 能 力 。 和 否则 ,信息 安全 系统 工程 建立 不 合理 .不 科学 .不 到 位 \ 不 标准 ,势必 影响 业 
务 应 用 信息 系统 的 正常 运营 ,阻碍 信息 化 的 推进 。 

信息 安全 系统 工程 作为 信息 系统 工程 的 一 个 子 集 ,其 安全 体系 和 策略 必须 遵从 系统 
工程 的 一 般 性 原则 和 规律 。 本 章 的 重点 和 最 终 目的 是 介绍 信息 安全 系统 工程 的 工程 原理 
和 方法 ,因此 对 系统 安全 过 程 进行 一 般 性 讨论 和 概念 性 介绍 就 显得 非常 必要 。 

随 着 社会 对 信息 依赖 程度 的 增长 ,信息 的 保护 变 得 越 来 越 重 要 。 网 络 计算机、 业务 
应 用 甚至 企业 间 的 广泛 互联 和 互 操作 特性 正在 成 为 产品 和 系统 安全 的 主要 驱动 力 。 信 息 
安全 的 关注 点 已 从 维护 保密 的 政府 数据 到 更 广泛 的 应 用 ,如 金融 交易 、 合 同 协议 个 人 信 
息 和 因特网 信息 。 因 此 ,非常 有 必要 考虑 和 确定 各 种 应 用 的 潜在 安全 需求 。 潜 在 的 需求 
实例 包括 信息 或 数据 的 机 密 性 、 完 整 性 .可 用 性 .可 记录 性 .私有 性 直至 系统 安全 运营 的 
保障 。 

信息 安全 关注 点 的 动态 变化 性 ,提高 了 信息 安全 系统 工程 的 重要 地 位 。 信 息 安全 系 
统 工程 正 日 益 成 为 重要 的 工程 课题 ,并 将 成 为 多 种 学 科 和 协同 作业 的 工程 组 织 中 一 个 关 
键 性 部 分 。 信 息 安 全 系统 工程 原理 适用 于 系统 和 应 用 的 开发 ,集成 .运行 .管理 ,维护 和 演 
变 , 以 及 产品 的 开发 ,交付 和 演变 。 这 样 , 信 息 安全 系统 工程 就 能 够 在 一 个 系统 一 个 产品 
或 一 个 服务 中 得 到 体现 。 

2. 信息 安全 系统 与 业务 应 用 信息 系统 之 间 的 关系 

用 户 的 业务 应 用 信息 系统 生命 周期 与 信息 安全 系统 生命 周期 的 关系 几乎 是 一 样 的 ， 
因为 它们 是 同步 进行 的 。 但 是 ,它们 的 工程 实施 过 程 和 工程 保证 过 程 是 有 本 质 不 同 的 。 
其 中 最 大 的 不 同 点 是 ,信息 安全 系统 从 项 目 启动 (立项 ) 开 始 , 需 要 严格 保密 的 。 一 般 情况 
下 ,不 允许 外 单位 人 员 参 加 。 所 有 参加 该 项 目的 人 员 ,不仅 需 要 签订 工程 建设 期 间 的 保密 
协议 ,还 要 签订 3 一 5 年 不 泄密 的 保密 协议 。 

此 外 ,信息 安全 系统 并 不 是 很 常见 的 信息 应 用 系统 ,需要 专业 知识 和 技能 ,因此 ,涉及 
这 样 的 信息 系统 集成 项 目 , 承 建 单位 需要 有 特殊 的 “资质 ”。 

另外 ,从 工程 要 求 来 看 ,信息 安全 系统 工程 的 建设 决 不 能 与 业务 应 用 信息 系统 工程 建 
设 混 为 一 谈 ,更 不 能 彼此 摊 和 。 我 们 要 切记 : 任何 一 个 信息 系统 ,必定 要 有 两 个 系统 的 生 
命 周期 "并存 ”。 信 息 安全 系统 是 根据 业务 应 用 信息 系统 的 安全 需求 建设 的 ,而 信息 安全 
系统 是 为 了 保障 业务 应 用 信息 系统 的 正常 运营 而 运营 的 。 

虽然 两 者 始终 保持 并 存 ” 的 “关系 ”( 可 能 延续 到 正常 运营 和 维护 阶段 结束 之 后 ,彼此 
仍然 保持 “并 存 ” 的 关系 ) ,但 是 它们 之 间 有 明显 的 主 次 之 分 。 信 息 安全 保障 系统 永远 是 业 
务 应 用 信息 系统 中 起 到 支撑 保障 作用 的 一 个 重要 组 成 部 分 ,因此 永远 处 于 “次 要 ”地 位 。 
没有 了 业务 应 用 信息 系统 ,也 就 没有 了 信息 安全 系统 。 信 息 安 全 系统 的 天职” 就 是 保障 
业务 应 用 信息 系统 的 安全 。 相 反 , 没 有 了 安全 ,业务 应 用 信息 系统 也 就 不 能 正常 地 运营 
了 。 所 以 ,虽然 处 于 "次 要 ”地 位 , 却 是 不 可 缺少 的 。 
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3. 信息 安全 系统 工程 目标 
信息 安全 系统 工程 是 一 个 发 展 中 的 技术 学 科 领 域 ,目前 尚 不 存在 准确 的 、 业 界 一 致 认 

可 的 定义 。 然 而 ,对 信息 安全 系统 工程 进行 概括 性 的 描述 还 是 可 能 的 。 为 此 ,我 们 给 出 信 

息 安全 系统 工程 主要 目标 的 定义 : 

获得 对 企业 安全 风险 的 理解 ; 

根据 已 识别 的 安全 风险 建立 一 组 平衡 的 安全 需求 ; 

。 将 安全 需求 转换 成 安全 的 策略 ,成 为 信息 系统 建设 基本 原则 ,并 落实 到 项 目 实 施 
中 的 各 个 科目 、 活 动 和 系统 配置 或 运行 的 定义 中 ; 

。 通过 正确 有 效 的 安全 机 制 建立 抵御 安全 威胁 和 系统 正常 运营 的 保证 ; 

。 动 态 监 测 、 判 断 系统 中 和 系统 运行 时 出 现 的 安全 隐患 和 突 发 事件 ,并 及 时 按 预 先 
指定 的 方案 ,启动 紧急 事故 处 理 程序 进行 处 理 和 追踪 ,遏制 危险 的 发 生 和 蔓延 ,使 
系统 免除 损失 或 控制 在 可 控 范 围 之 内 ; 

。 将 所 有 科目 和 专业 活动 集成 为 一 个 具有 共识 的 系统 安全 可 信人 性 工程 。 

4. 与 信息 安全 系统 工程 有 关 的 组 织 

各 种 不 同类 型 的 单位 /组 织 都 会 涉及 信息 安全 系统 工程 活动 ,他 们 是 : 

业主 及 业主 的 客户 ; 

。 集成 商 ; 

。 信息 安全 专家 及 顾问 委员 会 ; 

。 安全 产品 开发 者 和 经 营 者 ; 

。 密码 及 密码 产品 运行 许可 权 批 准 者 ; 

。 可 信 第 三 方 (数字 证 书 认证 服务 机 构 ); 

紧急 事故 应 急 处 理 中 心 ; 

安全 评估 组 织 ( 系 统 认 证 者 、 产 品评 估 者 和 运行 许可 权 批 准 者 ); 

。 咨询 服务 组 织 。 

5. 信息 安全 系统 工程 活动 

在 系统 工程 整个 生命 期 中 执行 的 信息 安全 系统 工程 活动 包括 : 

。 信息 安全 风险 评估 ; 

。 信息 安全 策略 制定 ; 

。 信息 安全 需求 确定 ; 

。 信息 安全 人 员 组 织 和 培训 ; 

。 信息 安 全 岗位 、 制 度 和 信息 安全 系统 运营 策划 和 管理 ; 

安全 系统 总 体 设计 ; 

。 信息 安全 系统 详细 设计 ; 

息 安 全 系统 设备 选 型 ; 

。 信息 安全 系统 工程 招 投标 ; 

。 密 钥 、 密 码 机 制 确定 ; 

。 资源 界定 和 授权 ; 

信息 安全 系统 施工 中 需要 注意 的 防 泄密 问题 和 施工 中 后 期 的 信息 安全 系统 测试 、 
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运营 、 维 护 的 安全 管理 ; 

。 淘汰 或 报废 安全 处 理 。 

6. 信息 安全 系统 工程 与 其 他 科目 

信息 安全 系统 的 建设 是 在 OSI 网 络 参考 模型 的 各 个 层面 进行 的 ,因此 与 信息 安全 系 
统 工程 活动 存在 直接 或 间接 关系 的 相关 工程 有 : 

。 硬件 工程 ; 

。 软件 工程 ; 

。 通信 及 网 络 工程 ; 

。 数据 存储 和 灾 备 工程 ; 

。 系统 工程 ; 
测试 工程 ; 

。 密码 工程 ; 

。 企业 信息 化 工程 。 

此 外 ,信息 安全 系统 建设 是 遵从 企业 /单位 (组 织 ) 所 制定 的 安全 策略 进行 的 ,而 安全 
策略 由 业主 与 业主 的 客户 、 集 成 商 、 安 全 产品 开发 者 .密码 研制 单位 ,独立 评估 者 和 其 他 相 
关 组 织 共同 协商 建立 。 因 此 信息 安全 系统 工程 活动 必须 要 与 其 他 外 部 实体 进行 协调 。 也 
正 是 因为 信息 安全 系统 工程 存在 这 些 与 其 他 工程 的 关系 接口 ,而 这 些 接口 又 遍布 各 种 组 
织 且 具有 相互 影响 ,所 以 信息 安全 系统 工程 与 其 他 工程 相 比 就 更 加 复杂 。 

7. 信息 安全 系统 工程 学 科 

在 目前 信息 安全 系统 的 组 成 概念 和 运营 管理 的 环境 下 ,信息 安全 系统 工程 和 信息 安 
全 技术 成 为 趋势 性 学 科 。 但 这 并 不 排斥 其 他 传统 安全 科目 (如 物理 安全 、 人 员 安 全 ,通信 
安全 等 ) 的 发 展 和 作用 (对 它们 有 一 定 促进 作用 )。 信 息 安全 系统 工程 应 该 吸纳 传统 安全 
科目 的 成 熟 规范 部 分 。 一 些 传统 的 专业 安全 科目 如 下 。 

。 物理 安全 一 一 侧重 于 保护 建筑 物 和 物理 场所 的 安全 ; 
计算 机 安全 一 一 各 种 类 型 计算 设备 的 安全 保护 ; 

网 络 安全 一 一 保护 网 络 连接 和 数据 传输 的 安全 措施 ,包括 网 络 硬件 .软件 和 协议 ， 
以 及 在 网 络 上 传输 的 信息 的 安全 ; 

通信 安全 一 一 保护 有 关 安 全 域 之 间 的 通信 安全 ,特别 是 信息 在 传输 介质 上 传输 时 
的 安全 ， 

输入 /输出 产品 的 安全 一 一 保护 与 主机 硬件 和 软件 的 安全 、 正 常 .稳定 的 连接 和 运 
行 , 防 止 外 来 的 干扰 和 破坏 ; 

操作 系统 安全 一 一 保护 操作 系统 本 身 安全 运营 的 安全 措施 和 由 于 操作 系统 提供 
给 使 用 者 的 安全 措施 ; 

数据 库 系 统 安 全 一 一 保护 数据 库 管 理 系统 本 身 安全 运营 的 安全 措施 和 由 数据 库 
管理 系统 提供 给 使 用 者 的 安全 措施 ; 

数据 安全 一 一 保护 在 存储 、 操 作 和 处 理 中 的 数据 ; 

信息 审计 安全 一 一 保证 审计 信息 和 审计 系统 的 安全 运营 ,从 而 获得 运行 环境 安全 
和 安全 运行 态势 维护 ; 
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。 人 员 安 全 一 一 有 关 人 员 及 其 可 信和 度 保证 ,以 及 安全 意识 培训 教育 保证 ; 
。 管理 安全 一 一 有 关 安 全 管理 和 管理 该 系统 的 安全 ; 
。 辐射 安全 一 一 控制 所 有 机 器 设备 保证 不 将 未 期 望 的 信号 发 射 到 安全 域外 部 。 


2.1.2 信息 安全 系统 工程 的 要 求 


在 《关于 加 强 信息 安全 保障 工作 的 意见 ) 中 明确 要 求 : 信息 安全 建设 是 信息 化 的 有 机 
组 织 部 分 ,必须 与 信息 化 建设 同步 规划 .同步 建设 。 各 地 各 部 门 在 信息 化 建设 中 ,要 同步 
考虑 信息 安全 建设 ,保证 信息 安全 设施 的 运行 维护 费用 。 

可 以 看 出 ,“ 重 功能 \ 轻 安全 ”“ 先 建设 、 后 安全 ”都 是 信息 化 建设 的 大 尽 ! 

通过 上 面 这 些 例子 ,可 以 看 到 在 安全 系统 建设 过 程 中 可 能 出 现 的 一 些 问题 ,所 以 需要 
有 一 个 系统 的 方法 来 指导 进行 信息 安全 系统 的 建设 ,这 个 方法 就 是 ISSE。 信 息 安全 系统 
工程 目前 尚 没有 准确 的 、 业 界 一 致 认可 的 定义 ,按照 著名 科学 家 钱学森 对 系统 工程 的 定 
义 , 信 息 安 全 系统 工程 可 定义 为 组 织 \ 管 理 信息 安全 系统 规划 、 研 究 、 制 造 、 实 验 、 使 用 的 科 
学 方法 , 即 开发 一 个 新 的 信息 安全 系统 或 者 改造 一 个 旧 的 系统 的 思想 方法, 步骤、 工具 
和 技术 。 从 该 定义 中 ,可 以 获得 如 下 信息 : 首先 ,ISSE 到 底 是 一 门 基本 理论 ,是 技术 基 
础 ,还 是 方法 论 ? 通过 定义 我 们 知道 ,ISSE 是 方法 论 , 它 研究 的 重点 是 方法 ,就 是 去 研 
究 系 统 规划 ,研究 、 制 造 、 实 验 、 使 用 过 程 中 所 使 用 的 方法 。 它 可 以 用 来 开发 一 个 新 系 
统 , 也 可 以 用 来 改造 一 个 旧 系 统 。 它 能 提供 建设 这 个 系统 的 思想 、 方 法 、 步 又、 工具 和 
技术 。 
2.1.3 信息 安全 系统 工程 过 程 描述 


在 日 常 办 事 的 过 程 中 ,思维 方式 以 及 所 采取 的 方法 是 和 ISSE 一 致 的 ,ISSE 的 优点 在 
于 能 从 繁杂 的 事务 中 理 出 头绪 ,能 找 全 问题 集 , 也 就 是 能 够 找 出 要 解决 的 问题 ,而 不 会 发 
生 遗 漏 ,然后 通过 一 个 个 步骤 ,指导 逐步 地 解决 这 些 问 题 。 来 看 一 下 ISSE 中 所 用 的 方 
法 。 以 某 单位 的 信息 化 建设 为 例 , 信 息 系 统 包 括 业 务 应 用 信息 系统 和 信息 安全 系统 ,所 以 
相对 应 的 ,信息 系统 工程 就 包括 业务 应 用 信息 系统 工程 和 信息 安全 系统 工程 。 这 两 个 系 
统 是 彼此 独立 却 又 不 可 分 割 的 ,所 以 要 进行 某 单位 的 信息 化 建设 ,就 要 同时 建设 两 个 系 
统 , 即 业 务 应 用 系统 和 信息 安全 系统 。 

在 ISSE 中 ,首先 要 有 一 个 开发 工作 的 组 织 , 这 个 组 织 不 仅 要 有 专业 人 员 参 加 ,还 要 
有 立项 单位 的 主要 领导 和 业务 人 员 参 加 。 开 发 工作 中 的 组 织 形式 ,新 系统 开发 领导 小 组 
包括 系统 开发 专业 组 、 系 统 维护 组 、 系 统 运行 组 。 在 系统 开发 专业 组 下 面 还 分 为 系统 分 析 
与 设计 安全 方案 的 分 析 与 设计 设备 选 型 调试 等 。 系 统 维护 组 包括 培训 、 数 据 维护 和 机 
器 维护 等 。 在 ISSE 中 ,为 了 保证 研制 工作 的 顺利 进行 ,要 求 在 开发 的 各 阶段 中 都 要 有 业 
务 人 员 参 加 。 

在 开发 前 期 ,需要 大 量 有 经 验 的 业务 人 员 配 合 系统 分 析 人 员 搞 好 系统 分 析 的 工作 ;在 
开发 后 期 ,也 需要 大 量 业 务 人 员 配 合 系统 的 测试 和 转换 工作 。 开 发 工作 的 管理 又 称 为 项 
目 管理 。 
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2.1.4 信息 安全 系统 工程 中 的 开发 工作 


项 目的 管理 者 在 有 限 的 资源 约束 下 ,运用 系统 的 观点 ,方法 和 理论 ,对 项 目 涉及 的 全 
部 工作 进行 有 效 的 管理 , 即 从 项 目的 投资 决策 开始 到 项 目 结束 的 全 过 程 进行 计划 、 组 织 、 
指挥 .协调 ,控制 和 评价 ,以 实现 项 目的 目标 。 项 目 管理 是 系统 工程 思想 针对 具体 项 目的 
实践 应 用 。 项 目 管理 的 要 素 如 下 。 

(1) 项 目 范 围 管 理 : 为 了 实现 项 目的 目标 ,对 项 目的 工作 内 容 进行 控制 的 管理 过 程 。 
它 包 括 范围 的 界定 ` 范 围 的 规划 范围 的 调整 等 。 

(2) 项 目 时 间 管 理 : 为 了 确保 项 目 最 终 按时 完成 的 一 系列 管理 过 程 。 它 包括 具体 活 
动 界定 、 活 动 排 序 . 时 间 估 计 、 进 度 安 排 及 时 间 控 制 等 项 工作 。 

(3) 项 目 成 本 管理 : 为 了 保证 完成 项 目的 实际 成 本 、 费 用 不 超过 预算 成 本 、 费 用 的 管 
理 过 程 。 它 包括 资源 的 配置 ,成 本 、 费 用 的 预算 以 及 费用 的 控制 等 项 工作 。 

(4) 项 目 质量 管理 : 为 了 确保 项 目 达 到 客户 所 规定 的 质量 要 求 所 实施 的 一 系列 管理 
过 程 。 它 包括 质量 规划 \ 质 量 控制 和 质量 保证 等 。 

(5) 人 力 资源 管理 : 为 了 保证 所 有 项 目 关 系 人 的 能 力 和 积极 性 都 得 到 最 有 效 发 挥 和 
利用 所 做 的 一 系列 管理 措施 。 它 包括 组 织 的 规划 、 团 队 的 建设 .人 员 的 选 聘 和 项 目的 班子 
建设 等 一 系列 工作 。 

(6) 项 目 沟 通 管理 : 为 了 确保 项 目的 信息 的 合理 收集 和 传输 所 需要 实施 的 一 系列 措 
施 , 它 包括 沟通 规划 、 信 息 传输 和 进度 报告 等 。 

(7) 项 目 风险 管理 : 涉及 项 目 可 能 遇 到 各 种 不 确定 因素 。 它 包括 风险 识别 ` 风 险 量 
化 .制订 对 策 和 风险 控制 等 。 

(8) 项 目 采 购 管理 : 为 了 从 项 目 实 施 组 织 之 外 获得 所 需 资源 或 服务 所 采取 的 一 系列 
管理 措施 。 它 包括 采购 计划 ,采购 与 征购 资源 的 选择 以 及 合同 的 管理 等 项 目 工作 。 

(9) 项 目 集成 管理 : 指 为 确保 项 目 各 项 工作 能 够 有 机 地 协调 和 配合 所 展开 的 综合 性 
和 全 局 性 的 项 目 管理 工作 和 过 程 。 它 包括 项 目 集成 计划 的 制定 、 项 目 集成 计划 的 实施 、 项 
目 变动 的 总 体 控制 等 。 

项 目 管理 的 目的 是 为 了 保证 工程 项 目 在 一 定 资源 情况 下 按 质 按 量 如 期 完成 。 项 目 管 
理 包 括 项 目 研究 计划 和 项 目 控制 ,其 中 项 目 研制 计划 由 长 期 计划 和 短期 计划 两 部 分 组 成 ， 
而 项 目 控制 主要 包括 成 本 控制 .进度 控制 和 质量 控制 。 

在 了 解 了 开发 工作 的 组 织 和 管理 之 后 ,来 看 一 下 ISSE 的 过 程 。 首 先 了 解 系统 工程 
的 生命 周期 。 系 统 工程 包括 下 面 五 个 过 程 : 概念 与 需求 定义 (发 掘 业务 需求 ) 系 统 功能 
设计 (定义 系统 功能 )、 系 统 开发 与 获取 (系统 设计 )、 系 统 实现 与 测试 (部 署 系统 ) 和 系统 维 
护 与 废弃 (有 效 性 评估 )。 系 统 工程 过 程 的 原理 是 将 问题 与 解决 方案 区 分 开 来 ,问题 简单 
来 讲 就 是 “做 什么 ”, 代 表 了 需求 限制 .风险 、 策 略 和 其 他 解决 问题 的 约束 条 件 ; 解 决 方案 就 
是 要 “怎么 做 ”, 代 表 了 要 完成 的 活动 和 需要 创造 的 用 来 满足 用 户 需 求 的 产品 。 所 以 发 气 
业务 需求 和 定义 系统 功能 是 面向 问题 的 .告诉 我 们 都 要 做 什么 ;而 系统 设计 和 部 署 系统 是 
面向 解答 的 ,告诉 我 们 该 怎么 做 。 在 系统 维护 过 程 中 还 需要 进行 有 效 性 评估 ,通过 评估 体 
系 来 评估 解决 方案 是 否 可 以 解决 存在 的 问题 ,从 而 对 问题 和 解决 方案 做 出 必要 的 修正 。 
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信息 系统 安全 工程 是 在 一 个 综合 的 系统 工程 中 涉及 与 信息 安全 (INFOSEC) 工 程 实 
践 有 关 的 过 程 。 它 是 这 样 一 个 过 程 : 它 分 析 用 户 的 信息 保障 需求 ,是 系统 工程 学 .系统 采 
购 、 风 险 管理 、 认 证 和 鉴定 以 及 生命 周期 的 支持 过 程 的 一 部 分 ,是 作为 系统 工程 过 程 的 一 
个 自然 扩展 而 给 出 的 。 它 的 过 程 也 包括 五 个 阶段 : 系统 规划 阶段 ,发 掘 信息 保护 需求 ; 系 
统 分 析 阶 段 ,定义 信息 保护 系统 功能 ;系统 设计 阶段 ,设计 信息 保护 系统 元 素 ;系统 实施 阶 
段 , 实 施 信 息 保护 系统 ,开发 和 安装 系统 ;维护 管理 阶段 ,评估 系统 有 效 性 。 

在 系统 分 析 阶 段 ,主要 是 确定 系统 的 网 络 拓扑 结构 ,包括 业务 系统 和 信息 安全 系统 。 
在 系统 设计 阶段 ,确定 需要 使 用 的 具体 设备 。 





2.2 信息 安全 系统 工程 过 程 


2.2.1 信息 保护 需求 的 发 所 


ISSE 首先 调查 在 信息 方面 的 用 户 任务 需求 ,相关 政策 ,法规 ,标准 以 及 威胁 ,然后 将 
标识 信息 系统 和 信息 的 具体 用 户 、 他 们 与 信息 系统 和 信息 交互 作用 的 实质 以 及 他 们 在 信 
息 保护 生命 周期 各 阶段 的 角色 责任 和 权力 。 信 息 保护 需求 应 该 来 自 于 用 户 的 视角 ,并 且 
不 能 对 系统 的 设计 和 实施 造成 过 度 限制 。 

在 信息 保护 政策 和 安全 运行 概念 (Concept of Operations,Co0O) 中 ,ISSE 应 该 使 用 通 
用 语言 描述 如 何在 一 个 综合 的 信息 环境 中 获得 所 需要 的 信息 安全 保护 。 当 系统 发 据 和 描 
述 出 这 一 信息 安全 保护 需求 时 ,信息 保护 将 成 为 一 个 必须 同时 考虑 的 系统 模块 。 图 2-3 
解释 了 系统 任务 、 威 胁 和 政策 如 何 影响 信息 保护 需求 以 及 如 何 对 其 进行 分 析 。 
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图 2-3 系统 任务 .威胁 和 政策 对 信息 保护 需求 的 影响 


1. 机 构 任 务 信 息 的 保护 需求 

必须 考虑 信息 和 信息 系统 在 一 个 大 型 任务 或 特定 机 构 中 的 作用 。ISSE 必须 考察 机 
构 中 各 元 素 ( 人 和 子 系统 ) 的 任务 可 能 受到 的 影响 , 即 : 当 无 法 使 用 信息 系统 或 信息 ,尤其 
是 丧失 保密 性 、 完 整 性 .可 用 性 \ 不 可 否认 性 时 ,可 能 会 带 来 哪些 问题 ? 

信息 的 重要 性 众所周知 但 是 很 多 人 在 发 气 其 信息 保护 需求 和 信息 保护 的 优先 级 时 
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还 是 会 遇 到 困难 。 为 了 科学 地 发 据 出 用 户 的 信息 保护 需求 ,必须 了 解 哪些 信息 在 泄漏 、 丢 
失 或 修改 时 会 对 总 体 任 务 造成 伤害 。ISSE 应 该 做 到 以 下 几 点 : 

。 帮助 用 户 对 自己 的 信息 管理 过 程 进行 建 模 ; 

。 帮助 用 户 定义 信息 威胁 ; 

。 帮助 用 户 确立 信息 保护 需求 的 优先 次 序 ; 

。 准备 信息 保护 策略 ; 

。 获得 用 户 许 可 。 

确定 用 户 需 求 是 ISSE 实施 的 与 用 户 相 交互 的 活动 ,以 确保 任务 需求 中 包含 信息 保 
护 需求 以 及 系统 功能 中 包含 了 信息 保护 功能 。ISSE 能 够 将 安全 规则 、 技 术 、 机 制 相 结合 ， 
并 将 其 应 用 于 解决 用 户 的 信息 保护 需求 ,从 而 建立 一 个 信息 系统 保护 系统 ,并 使 用 该 系统 
中 包含 的 信息 保护 体系 结构 和 机 制 , 可 在 用 户 允 许 的 成 本 、 功 能 和 时 间 安 排 的 范围 之 内 获 
取 最 佳 信息 保护 性 能 。 

图 2-4 描述 的 是 一 个 分 层 需求 图 , 较 高 层 向 下 一 层 施 加 了 信息 保护 需求 ,各 保护 需求 
的 详细 程度 决定 于 它 在 机 构图 中 的 位 置 , 越 向 下 ,要 求 越 具体 ,反之 , 则 越 抽象 。 


会 任务 /业务 
EE 体系 结构 
设计 

Pasa 





更 加 抽象 











图 2-4 分 层 需 求 图 


ISSE 在 设计 信息 保护 系统 时 必须 评估 信息 对 信息 和 系统 对 任务 的 重要 性 ,并 在 此 基 
础 上 遵循 用 户 的 意见 。 信 息 和 信息 系统 在 支持 系统 任务 方面 的 角色 可 以 通过 以 下 的 方式 
描述 : 

。 需要 查阅 .更 新 \ 删 除 ` 初 始 化 或 者 处 理 的 信息 属于 何 种 类 型 ( 涉 密 信 息 、 金 融 信 
息 、 产 权 信 息 、 个 人 隐私 信息 等 ); 
谁 有 权 查 阅 、 更 新 、 删 除 、 初 始 化 和 处 理 信息 记录 ; 


。 授权 用 户 如 何 履行 其 职责 ; 
。 授权 用 户 使 用 何 种 工具 (文档 、\ 硬 件 . 软 件 . 固 定 和 规程 ) 履 行 其 职责 ， 
。 系统 中 是 否 有 不 可 否认 性 需求 。 


ISSE 和 系统 用 户 将 精诚 合作 ,研究 信息 系统 的 角色 ,使 信息 系统 更 好 地 满足 用 户 的 


Ne/ 信息 安全 工程 


任务 需求 。 若 没有 用 户 的 参与 ,ISSE 很 难 做 出 满足 用 户 需求 的 决定 。 

2. 考察 信息 系统 面临 的 威胁 

依照 ISSE ,系统 背景 /环境 应 负责 说 明 信 息 系统 的 功能 和 它 与 系统 边界 外 部 元 素 的 
接口 ,还 要 明确 信息 系统 的 物理 边界 和 逻辑 边界 ,以 及 系统 输入 /输出 的 一 般 特 性 。 它 应 
描述 系统 与 环境 之 间或 系统 与 其 他 系统 之 间 信 号 ,能 量 和 资源 的 双向 信息 流 。 除 此 之 外 ， 
还 必须 考虑 系统 与 环境 或 其 他 系统 之 间 有 意 设 定 或 自行 存在 的 接口 。 其 中 ,针对 后 者 的 
描述 即 是 在 确定 信息 系统 所 面临 的 “威胁 ”。“ 威 胁 ” 指 可 能 造成 某 个 结果 的 事件 或 对 系统 
造成 危害 的 潜在 事实 。 对 系统 威胁 的 描述 涉及 : 

。 信息 类 型 ; 

。 信息 的 合法 用 户 及 用 户 的 信息 ; 

。 对 威胁 主体 的 考察 包括 动机 、 能 力 、 意 图 、 途 径 、 可 能 性 、 后 果 ( 对 机 构 任 务 / 业 务 的 

影响 ) 。 

3. 信息 安全 策略 的 考虑 

对 一 个 机 构 而 言 ,在 制定 本 机 构 的 信息 保护 策略 时 , 除 考虑 信息 系统 面临 的 威胁 外 ， 
还 必须 考虑 现 有 的 信息 保护 政策 法规 和 标准 。 

对 安全 策略 的 定义 多 种 多 样 , 有 广义 和 狭义 之 分 。 狭 义 的 安全 策略 诸如 防火 墙 策略 、 
访问 控制 策略 等 ,而 在 系统 级 上 讨论 的 安全 策略 一 般 是 指 广义 概念 下 的 信息 安全 策略 ,其 
目的 在 于 : 为 信息 系统 的 安全 提供 框架 ,提供 安全 方法 的 说 明 , 规 定 信息 安全 的 基本 规 
范 ,落实 安全 责任 ,为 信息 安全 的 具体 实施 提供 依据 和 基础 。 

信息 安全 策略 要 提供 : 

。 信息 保护 的 内 容 和 目标 。 信 息 系统 中 要 保护 所 有 的 资产 以 及 每 个 资产 的 重要 性 、 

资产 所 面临 的 主要 威胁 、 信 息 保护 的 等 级 等 。 
。 信 息 保护 的 职责 落实 。 明 确 机 构 中 信息 安全 保护 的 责任 和 义务 。 
。 实施 信息 保护 的 方法 。 确 定 保护 信息 系统 中 各 类 资产 的 具体 方法 ,例如 ,对 于 实 
体 可 以 采用 隔离 、 防 辐射 \ 防 自然 灾害 的 措施 ,对 于 数据 信息 可 以 采用 授权 访问 控 
制 技术 ,对 于 网 络 传输 可 以 采用 安全 隧道 技术 等 。 

。 事故 的 处 理 。 为 确保 任务 的 落实 ,提高 安全 意识 和 警惕 性 ,应 规定 相关 的 惩罚 条 
款 , 并 建立 监管 机 制 ,以 确保 各 项 条 款 的 严格 执行 。 

与 系统 工程 过 程 相 同 ,一 个 机 构 必须 考虑 本 机 构 内 所 有 的 政策 ,规则 和 标准 。 很 多 时 
候 , 该 机 构 的 信息 保护 策略 应 根据 更 高 层 的 法 律 .法 规 等 政策 制定 。 在 考察 或 制定 信息 系 
统 的 安全 保护 策 时 ,尤其 重要 的 是 不 能 与 更 高 层 的 信息 保护 及 其 他 有 关 政策 相 违背 。 

以 下 是 美国 军 方 在 实施 信息 安全 工程 过 程 时 所 参照 的 信息 保护 政策 。 

。 DoD 5200. 28 《自动 化 信息 系统 的 安全 要 求 》。 它 具体 规定 了 自动 化 信息 系统 的 
最 小 安全 要 求 ,包括 可 追究 性 ,访问 权限 、 安 全 培训 ,物理 控制 、 密 级 /敏感 度 标记 、 
“应 需 可 知 ” 的 限制 整个 生命 周期 内 的 数据 控制 ,以 及 应 急 计 划 、 风 险 管理 和 认可 
过 程 。 
管理 和 预算 办 公 厅 A-130 ”附件 盾 ( 联 邦 自动 化 资源 的 安全 》 和 公共 法 律 100 一 
235。 具 体 描述 了 保护 国家 信息 系统 的 安全 需求 ,定义 了 每 个 授权 拥有 信息 的 个 
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人 的 角色 和 责任 ,建立 和 实施 了 相应 的 信息 安全 计划 以 规范 整个 系统 生命 周期 的 
连续 性 管理 支持 。 
。 美国 总 统 令 12968 《信息 分 类 指南 》。 描 述 了 对 于 各 类 信息 的 个 人 访问 安全 
我 国 的 有 关 国 家 级 法 律 、 法 规 包 括 : 


。 中 华人 民 共 和 国保 守 国家 秘密 法 ; 

。 中华 人民 共 和 国 国家 安全 法 ; 

。 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ; 

全 国人 大 常委 会 关于 维护 互联 网 安全 的 决定 ; 

中 华人 民 共 和 国 计 算 机 信息 网 路 国际 互联 网 络 安全 保护 管理 办 法 ; 
。 计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 ; 


地 方法 律 .法 规 等 政策 文献 也 是 在 制定 机 构 的 信息 安全 策略 时 必须 参照 的 内 容 , 这 方 
面 的 政策 文献 很 多 。 北 京 市 近年 来 颁布 的 信息 安全 法 律 和 法 规 包 括 : 

。 北京 市 党 政 机 关 计 算 机 网 络 与 信息 安全 管理 办 法 ; 

。 北京 市 信息 安全 服务 单位 资质 等 级 评估 条 件 ( 试 行 ); 


事实 上 ,一 个 机 构 在 实施 信息 安全 工程 时 , 因 具 体 条 件 的 不 同 (机 构 性 质 、 资 产 类 别 、 
地 理 位 置 等 ), 需 要 参照 的 政策 可 能 各 不 相同 ,最 终 制定 出 的 安全 策略 可 能 差异 较 大 。 因 
范围 太 广 ,本 书 没有 给 出 所 有 可 能 参考 到 的 信息 安全 政策 ,以 上 的 列举 旨 在 强调 外 部 信息 
安全 政策 对 信息 安全 工程 的 重要 意义 。 在 实践 中 ,往往 需要 专门 设立 一 个 有 系统 工程 专 
家 、ISSE、 用 户 代表 、 权 威 认证 机 构 \ 设 计 专家 组 成 的 小 组 来 制定 一 个 有 效 的 信息 保护 策 
略 。 该 小 组 要 通力 合作 ,保护 政策 的 正确 性 、 全 面 性 及 其 与 其 他 现 有 政策 的 一 致 性 。 

信息 安全 策略 必须 由 高 层 管理 机 构 批 准 并 颁布 。 该 策略 必须 是 明确 的 ,以 使 下 级 机 
构 易 于 制定 各 自 的 制度 ,并 且 便 于 机 构 所 有 成 员 的 理解 。 还 需要 有 一 个 能 够 确保 在 机 构 
内 部 实施 该 策略 的 流程 ,并 让 机 构成 员 认 识 到 违反 该 策略 将 会 出 现 的 后 果 。 尽 管 必 须 依 
据 具体 情况 的 改变 及 时 更 新 机 构 的 安全 策略 ,但 一 般 来 说 ,高 层 策略 的 改动 不 宜 过 于 
频繁 。 

可 以 比较 一 下 ,在 建设 一 个 系统 时 ,没有 ISSE 的 指导 和 有 ISSE 的 指导 会 有 哪些 
不 同 。 

首先 是 第 一 个 阶段 系统 规划 ,这 是 系统 开发 的 准备 和 总 部 署 , 是 建设 信息 安全 系统 的 
先行 工程 ,在 工程 开发 中 有 着 举足轻重 的 地 位 。 要 考虑 的 主要 内 容 包 括 : 了 解 任务 信 
息 保护 需求 ; @ 掌 握 对 信息 系统 的 威胁 ; @ 考 虑 信息 安全 的 策略 ; @ 新 系统 规划 设计 ; 
@ 系 统 开发 可 行 性 分 析 。 系 统 规划 阶段 的 最 后 结果 是 系统 开发 可 行 性 分 析 报 告 。 依 据 
户 单位 的 性 质 、 目 标 \ 任 务 以 及 存在 的 安全 威胁 确定 安全 需求 ,例如 支持 多 种 信息 安全 策 
略 需求 、 使 用 开放 系统 需求 ,支持 不 同安 全 保护 等 级 需求 、 使 用 公共 通信 系统 需求 等 。 信 
息 系统 安全 工程 师 要 帮助 客户 理解 用 来 支持 其 业务 或 任务 的 信息 保护 的 需求 。 信 息 保 护 
需求 说 明 可 以 在 信息 保护 策略 中 记录 。 要 发 掘 需求 , 即 要 帮助 客户 理解 并 记录 用 来 支持 
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其 业务 或 使 命 的 信息 管理 的 需求 。 

第 二 个 阶段 是 系统 分 析 阶 段 , 要 考虑 的 主要 内 容 包括 : 四 确定 信息 保护 目标 ; @ 硬 
件 系 统 逻 辑 模型 (网 络 拓扑 、 设 备 选 型 等 ); @@ 软 件 系统 逻辑 模型 (绘制 数据 流程 图 .信息 
安全 系统 的 逻辑 模型 等 )。 系 统 分 析 是 面向 “问题 ”的 ,是 在 对 用 户 的 业务 活动 进行 分 析 
后 ,明确 在 用 户 的 业务 环境 中 ,新 系统 应 “做 什么 ”。 这 个 阶段 的 最 后 成 果 是 系统 分 析 说 明 
书 ,也 称 其 为 总 体 技术 方案 。 信 息 系 统 安全 工程 师 要 将 信息 保护 需求 分 配 到 系统 中 。 系 
统 安全 的 背景 环境 、 概 要 性 的 系统 安全 以 及 基线 安全 要 求 均 应 得 到 确定 。 


2.2.2 定义 信息 保护 系统 


定义 系统 要 求 : 要 向 系统 中 分 配 已 经 确定 的 需求 ;应 标识 出 系统 的 环境 ,并 说 明 系 统 
功能 对 该 环境 的 分 配 ; 要 写 出 概要 性 的 系统 运行 概念 ,描述 待 建 系统 的 运行 情况 ;要 建立 
起 系统 的 基线 要 求 。 

在 该 阶段 的 行为 中 ,用 户 对 信息 保护 的 需求 和 信息 系统 环境 的 描述 应 被 解释 为 信息 
安全 保护 的 目标 、 要 求 和 功能 。 该 阶段 的 行为 将 定义 信息 保护 系统 将 要 做 什么 ,信息 保护 
系统 执行 其 功能 的 情况 如 何 ,以 及 信息 保护 系统 的 内 部 和 外 部 接口 。 

1. 信息 保护 目标 

信息 保护 目标 与 系统 目标 具有 相同 的 特性 ,都 具有 有 效 性 度量 (Measure of 
Effectiveness, MoE) ,而 且 对 信息 保护 需求 来 说 应 是 明确 的 \ 可 测量 的 、 可 验证 的 ,可 跟踪 
的 。 每 个 目标 的 基本 原理 必须 能 解释 以 下 内 容 : 

。 信息 保护 对 象 所 支持 的 任务 对 象 ; 

。 了 驱动 信息 保护 目标 、 与 任务 相关 的 威胁 ; 

。 未 实现 目标 可 能 带 来 的 后 果 ; 

。 支持 目标 的 信息 保护 方针 或 策略 。 

2. 系统 背景 /环境 

从 技术 层面 讲 , 系 统 背 景 /环境 应 确定 系统 的 功能 及 其 与 系统 边界 外 部 元 素 的 接口 。 
在 信息 保护 系统 的 工程 过 程 中 ,任务 目标 、 信 息 的 本 质 \ 任 务 的 信息 处 理 系 统 、 威 胁 \ 信 息 
保护 策略 和 设备 极 大 地 影响 着 系统 环境 。 信 息 保护 系统 的 背景 应 该 在 其 与 任务 信息 处 理 
系统 .其 他 系统 .环境 之 间 界 定 逻 辑 和 物理 边界 。 这 种 背景 /环境 包含 对 信息 的 输入 和 和 输 
出 、 系 统 与 环境 之 间或 与 其 他 系统 之 间 信 和 号 和 能 量 的 双向 流动 的 描述 。 

3. 信息 保护 需求 

ISSE 中 ,需求 分 析 行 为 将 评审 和 更 新 此 前 工程 过 程 中 的 分 析 ( 任 务 、 威 胁 、 目 标 、 系 统 
背景 /环境 ) 。 当 信息 保护 需求 从 用 户 需 求 演变 为 更 加 精炼 的 系统 规范 时 ,必须 对 其 进行 
充分 的 定义 ,以 便 系统 体系 结构 的 概念 能 够 在 集成 .并行 的 系统 工程 过 程 中 得 以 开发 。 
ISSE 将 和 其 他 信息 保护 系统 的 所 有 者 一 起 考察 以 下 信息 保护 需求 : 正确 性 .完备 性 、 一 
致 性 、. 互 依赖 性 .冲突 和 可 测 性 。 信 息 保 护 功能 性能、 接口 、 互 操作 性 、 派 生 要求 与 设计 一 
样 将 进入 系统 的 全 过 程 RTM(Release To Manufacturing) 。 

4. 功能 分 析 

ISSE 将 使 用 许多 系统 工程 工具 来 理解 信息 保护 功能 ,并 将 功能 分 配给 各 种 信息 保护 
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配置 项 。ISSE 必须 理解 信息 保护 子 系统 如 何 成 为 这 个 系统 的 一 部 分 ,还 必须 理解 如 何 才 
能 支持 整个 系统 。 


2.2.3 设计 信息 保护 系统 


第 三 个 阶段 是 系统 设计 阶段 ,要 考虑 的 主要 内 容 包括 : 四 设计 概述 , 即 物 理 模 型 ( 系 
统 顶 层 设计 ,决定 配置 项 ); @ 初 步 设计 ; 图 详细 设计 。 系 统 设 计 是 面向 解答 的 ,是 对 信 
息 安 全 系统 本 身 进 行 分 析 ,考虑 它 应 该 “怎么 做 ?才能 满足 用 户 提 出 的 要 求 。 系 统 设计 的 
最 终结 果 是 系统 设计 说 明 书 ,又 称 实施 方案 。 

在 这 个 行为 中 ,ISSE 将 构造 系统 的 体系 结构 ,详细 地 说 明 信 息 保护 系统 的 设计 方案 。 
包括 : 

。 精炼 ,验证 并 检查 安全 要 求 与 威胁 评估 的 技术 原理 ; 

。 确保 一 系列 的 低层 要 求 能 够 满足 系统 级 的 要 求 ; 

。 支持 系统 级 体系 结构 ,配置 项 和 接口 定义 ; 
支持 长 研制 周期 和 前 期 的 采购 决策 ; 
定义 信息 保护 的 操作 和 生命 周期 支持 问题 ; 
。 继续 跟踪 、 精 炼 信息 保护 相关 的 采 办 和 工程 管理 计划 及 战略 ; 
。 继续 进行 面向 具体 系统 的 信息 保护 风险 审查 和 评估 ; 
支持 认证 和 认可 过 程 ; 
加 入 系统 工程 过 程 。 

1. 功能 分 配 

与 系统 功能 被 分 配给 人 ,硬件 ,软件 和 固件 相同 ,信息 保护 功能 也 要 分 配给 这 些 系统 
元 素 。 分 配 时 ,组 件 不 仅 要 满足 问题 空间 中 整个 系统 约束 条 件 的 子 集 ,也 要 满足 相应 的 功 
能 和 性 能 要 求 。 必 须 考 察 各 种 不 同 的 信息 保护 系统 体系 结构 ,ISSE 将 与 系统 所 有 者 一 起 
协商 出 在 概念 上 ,物理 上 都 可 行 的 信息 保护 系统 体系 结构 协定 。 

2. 概要 信息 保护 设计 

实施 概要 信息 保护 设计 的 最 小 条 件 是 : 针对 信息 保护 需求 ,具有 一 个 稳定 的 协定 和 
一 个 在 配置 管理 下 的 稳定 的 信息 保护 体系 结构 。 一 旦 定义 了 这 个 体系 结构 并 将 其 实现 了 
基线 ,系统 和 ISSE 工程 师 将 书写 相应 的 规范 ,使 这 些 规范 细 化 直至 配置 顶层 怎样 构造 的 
粒度 。 产 品 和 高 层 规范 的 审查 应 位 于 在 概要 设计 审查 (PDR) 之 前 。ISSE 这 一 阶段 的 行 
为 包括 : 


对 发 气 需 求 和 定义 系统 这 两 个 阶段 的 产物 进行 回顾 并 改进 ,尤其 是 配置 顶层 和 接 
口 规范 的 定义 ; 

对 现 有 解决 方案 进行 调查 ,使 之 与 顶层 配置 要 求 相 匹 配 ; 

检查 所 提出 的 概要 设计 审查 层 解决 办 法 的 基本 原理 ; 

检查 验证 配置 顶层 规范 是 否 满足 高 层 信 息 保护 要 求 ; 

支持 认证 和 认可 过 程 ; 

支持 信息 保护 操作 发 展 和 生命 周期 管理 决策 ; 

加 入 系统 工程 过 程 。 
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3. 详细 信息 保护 设计 

详细 信息 保护 设计 将 产生 底层 产品 规范 ,该 规范 或 者 要 完成 配置 顶层 的 设计 ,或 者 要 
规定 并 调整 对 正在 购买 的 配置 项 的 选择 。 该 阶段 的 行为 将 导出 检查 -检查 设计 审查 (CI- 
CDR) 一 一 就 完备 性 冲突, 兼容 性 (与 接口 系统 )、 可 检验 性 ,信息 保护 风险 、 集 成 风险 和 
对 需求 的 可 跟踪 性 对 每 个 详细 的 配置 项 规范 进行 评审 。 该 阶段 包括 : 
对 前 面 概要 设计 的 产物 进行 评审 和 改进 ， 
通过 对 可 行 的 信息 保护 解决 方案 提供 输入 并 评审 具体 的 设计 资料 ,来 支持 系统 层 
设计 和 配置 项 层 设计 ; 
检查 CDR 层 解 决 方案 的 基本 技术 原理 ; 
支持 ,产生 ,检验 信息 保护 测试 和 评估 的 要 求 及 步 又 ; 
追踪 和 应 用 信息 保护 的 保障 机 制 ; 
检验 配置 项 层 设计 是 否 满足 高 层 的 信息 保护 要 求 ; 
完成 对 信息 生命 周期 安全 支持 的 大 部 分 输入 ,包括 向 训练 和 紧急 事件 培训 材料 提 
供 信息 保 护 的 输入 ; 
评审 和 更 新 信息 保护 风险 和 威胁 计划 以 及 对 任何 要 求 集 的 改变 ; 
支持 认证 和 认可 过 程 ; 
加 入 系统 工程 过 程 。 

(1) 设计 系统 安全 体系 结构 。 信 息 系统 安全 工程 师 要 与 系统 工程 师 合 作 , 一 起 分 析 
待 建 系统 的 体系 结构 ,完成 功能 的 分 析 和 分 配 , 同 时 分 配 安全 服务 ,并 选择 安全 机 制 。 

设计 系统 体系 结构 : 应 该 分 析 待 建 系统 的 体系 结构 ,完成 功能 的 分 析 和 分 配 , 同 时 分 
配 系统 的 要 求 , 并 选择 相关 机 制 。 系 统 工程 师 还 应 确定 系统 中 的 组 件 或 要 素 , 将 功能 分 配 
给 这 些 要素 ,并 描述 这 些 要 素 间 的 关系 。 

(2) 开展 详细 的 安全 设计 。 信 息 系统 安全 工程 师 应 分 析 设计 约束 和 均衡 取舍 ,完成 
详细 的 系统 和 安全 设计 ,并 考虑 生命 周期 的 支持 。 

开展 详细 设计 : 应 分 析 系统 的 设计 约束 和 均衡 取舍, 完成 详细 的 系统 设计 ,并 考虑 生 
命 周期 的 支持 。 系 统 工程 师 应 将 所 有 的 系统 要 求 跟踪 至 系统 组 件 ,直至 无 一 遗漏 。 最 终 
的 详细 设计 结果 应 反映 出 组 件 和 接口 规范 ,为 系统 实现 时 的 采 办 工作 提供 充分 的 信息 。 


2.2.4 实施 信息 保护 系统 


该 阶段 行为 的 目的 是 建设 ,购买 集成、 检验 和 认证 信息 保护 子 系统 中 配置 项 的 集合 。 
参照 的 依据 是 全 套 的 信息 保护 需求 。 

ISSE 所 执行 的 其 他 用 于 信息 保护 系统 的 实施 与 测试 的 功能 还 包括 : 
在 系统 当前 的 运行 状态 下 对 系统 信息 保护 的 威胁 评估 进行 更 新 ; 
验证 已 经 实施 的 信息 保护 解决 方案 的 信息 保护 需求 和 约束 条 件 , 实 施 相 关 的 系统 
验证 与 确认 机 制 .发 现 新 的 问题 ; 
跟踪 或 参与 和 系统 实施 和 测试 实践 相关 的 信息 保护 保证 机 制 的 应 用 ; 
对 变化 中 的 系统 操作 流程 与 生命 周期 支持 计划 提供 进一步 的 输入 和 评审 ,例如 ， 
后 勤 支持 中 通信 安全 (Communication Security, COMSEC) 中 密 钥 发 布 或 可 发 布 
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性 控制 问题 ,以 及 系统 操作 和 维护 培训 材料 中 的 信息 保护 相关 元 素 ; 

。 为 安全 验证 审查 (Security Verification Review, SVR) 准 备 的 正式 的 信息 保护 

评估 ; 

。 认证 与 认可 (Certificate Authority, CA) 过 程 行为 所 要 求 的 输入 ; 

。 参与 对 系统 所 有 问题 的 综合 式 、 多 学 科 的 检查 。 

上 述 行为 及 其 所 产生 的 结果 均 支 持 安全 验证 审查 。 在 安全 验证 审查 总 结 后 ,通常 会 
很 快 得 到 安全 的 认可 和 批准 。 

1. 采购 

在 决定 究 竞 是 采购 还 是 自己 生产 系统 组 件 时 ,往往 要 基于 一 个 分 层 式 的 首选 偏好 , 例 
如 ,有 的 人 对 商业 现代 (Commercial off the Shelf,COTS) 的 硬件 .软件 和 固件 具有 强烈 偏 
好 ,但 却 对 政府 现 贷 (Government off the Shelf,GOTS) 产 品 兴趣 不 大 。 

在 进行 采购 /生产 决策 时 需要 进行 权衡 分 析 。 以 在 操作 性能、 成 本 、 进 度 和 风险 相互 
平衡 的 基础 上 达到 体系 结构 的 综合 指数 最 佳 ,ISSE 必须 确保 所 有 分 析 均 包括 了 相关 的 安 
全 因素 。 为 做 出 是 购买 还 是 生产 系统 组 件 的 决策 ,ISSE 必须 调查 现 有 的 产品 目录 ,以 判 
断 某 些 现 有 产品 是 否 能 够 满足 系统 组 件 的 要 求 。 在 所 有 问题 的 情况 下 ,必须 对 一 系列 潜 
在 的 可 行 选项 进行 验证 ,而 不 是 仅仅 验证 单一 选项 。 此 外 ,为 确保 系统 实施 之 后 依然 具有 
较 强 的 生命 力 ,ISSE 必须 适当 地 考虑 采用 新 技术 和 新 产品 。 

2， 建设 

除 在 第 1 章 信息 安全 工程 基础 中 详细 描述 的 建设 行为 外 ,ISSE 行为 中 的 系统 设计 均 
针对 信息 保护 系统 。 该 行为 的 目的 是 确保 设计 出 必要 的 保护 机 制 并 使 该 机 制 在 系统 实施 
中 得 以 实现 。 与 多 数 系统 相同 ,信息 保护 系统 也 会 受到 一 些 能 够 加 强 或 削弱 其 效果 的 变 
量 的 影响 。 在 一 个 信息 保护 系统 中 ,这 些 变量 扮演 着 重要 角色 ,它们 决定 了 信息 保护 对 系 
统 的 适宜 程度 。 这 些 变 量 包括 : 

。 物理 完整 性 一 一 产品 所 用 组 件 是 否 能 够 正确 地 防 自 改 ? 

。 人 员 完 整 性 一 一 建造 或 装配 系统 的 人 员 是 否 有 足够 的 知识 按照 正确 的 装配 步骤 

来 建设 系统 ? 他们 是 否 拥有 适宜 的 涉 密 许可 级 别 , 以 确保 系统 的 可 信 性 ? 

这 些 在 很 大 程度 上 影响 其 他 行为 ,在 开始 装配 系统 时 ,必须 给 予 足 够 的 重视 。 

3. 测试 

ISSE 必须 包括 已 开发 的 信息 保护 测试 计划 和 流程 。 此 外 ,还 必须 开发 出 相关 的 测试 
用 例 、 工 具 、 硬 件 和 软件 ,以 便 充分 试用 该 系统 。ISSE 的 测试 行为 包括 : 

对 “设计 信息 保护 系统 ”阶段 的 结果 进行 评审 并 加 以 改进 ; 

验证 已 经 实施 的 信息 保护 解决 方案 的 系统 配置 和 配置 顶层 的 信息 保护 需求 和 约 
东 条 件 , 实 施 相关 的 系统 验证 与 确认 机 制 . 发 现 新 的 问题 ; 

跟踪 和 和 运用 与 系统 实施 和 测试 实践 相关 的 信息 保护 保障 机 制 ; 

为 变化 的 生命 周期 安全 支持 计划 提供 输入 和 评审 ,包括 后 勤 . 维 护 和 训练 ; 

继续 进行 风险 管理 活动 ; 

支持 认证 和 认可 过 程 ; 

加 入 系统 工程 过 程 。 
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在 系统 实施 阶段 ,就 是 依据 系统 设计 说 明 书 (实施 方案 ) 完 成 一 个 可 以 实际 运行 的 信 
息 安 全 系统 ,交付 用 户 使 用 。 要 考虑 的 主要 内 容 是 : 实现 设计 阶段 的 物理 模型 ; 四 设 
备 的 选 购 与 系统 集成 ; @ 非 采购 件 的 设计 实现 ; @ 系 统 测试 和 验收 。 系 统 实施 过 程 中 要 
进行 基本 设计 评审 ,关键 设计 评审 和 系统 验收 评审 ,并 形成 文档 。 信 息 安全 工程 师 要 参与 
对 所 有 的 系统 问题 进行 的 多 学 科 检查 之 中 ,并 向 认证 与 认可 过 程 活动 提供 输入 ;跟踪 系统 
实现 和 测试 活动 中 的 信息 保护 保障 机 制 ;向 系统 的 生命 周期 支持 计划 、 运 行 流程 以 及 维护 
培训 材料 提供 输入 。 

实现 系统 : 将 系统 从 规范 变 为 现实 ,该 阶段 的 主要 活动 包括 采 办 、 集 成 .配置 ,测试 、 
记录 和 培训 。 系 统 的 各 组 件 要 接受 测试 和 评估 ,以 确保 它们 能 够 满足 规范 。 成 功 的 测试 
之 后 ,各 组 件 一 一 硬件 .软件 .固件 一 一 要 进行 集成 和 正确 的 配置 ,并 作为 一 个 系统 接受 整 
体 测试 。 

从 系统 维护 管理 阶段 开始 ,一 直 运 行 到 该 系统 被 男 一 个 新 的 系统 取代 为 止 ,要 考虑 的 
主要 内 容 包 括 : 四 系统 维护 和 管理 (软件 .设备 .介质 和 密 钥 ); @ 信 息 保护 系统 的 有 效 性 
评估 (成 本 是 否 可 接受 ,风险 是 否 可 控制 ,系统 可 用 性 是 否 可 行 等 ) ,要 提供 风险 评估 报告 、 
安全 评估 报告 和 安全 认证 报告 。 


2.2.5 评估 信息 保护 系统 的 有 效 性 


ISSE 也 强调 了 信息 保护 系统 的 有 效 性 ,其 重点 是 为 信息 提供 必要 级 别 的 保密 性 、 完 
整 性 、 可 用 性 和 不 可 否认 性 的 系统 能 力 。 如 果 信息 保护 系统 不 能 完全 满足 这 些 要 求 , 则 任 
务 的 成 功 性 将 会 大 打折 扣 。 这 些 着 重点 包括 : 

。 互 操作 性 一 一 系统 能 否 通过 外 部 接口 正确 地 保护 信息 ; 

。 可 用 性 一 一 用 户 是 否 能 够 利用 系统 来 保护 信息 和 信息 资产 ; 

。 训练 一 一 为 使 用 户 能 够 操作 和 维护 信息 保护 系统 ,需要 进行 何 种 程度 的 指导 ，; 

。 人 机 接口 一 一 人 机 接口 是 否 会 导致 用 户 出 错 , 是 否 会 破坏 信息 保护 机 制 ; 

。 成 本 一 一 构造 和 维护 信息 保护 系统 在 经 济 上 是 否 可 行 。 

评估 有 效 性 : 各 项 活动 的 结果 要 接受 评估 ,以 确保 系统 能 够 满足 用 户 的 需求 ,系统 在 
一 个 预期 环境 中 实现 了 期 望 的 功能 ,并 达到 了 一 个 要 求 的 质量 标准 。 系 统 工程 师 要 检查 
系统 对 任务 需求 的 满足 程度 。 

通常 某 一 项 安全 技术 都 是 针对 一 个 具体 的 安全 问题 , 它 是 具体 的 、 局 部 的 有 针对 性 
的 ;而 信息 安全 工程 和 信息 安全 保障 一 样 ,强调 的 是 整体 的 、 综 合 的 、 基 于 过 程 的 ,它们 都 
是 有 一 个 生命 周期 的 ,信息 安全 保障 中 就 采用 了 很 多 信息 安全 工程 的 思想 和 方法 。 生 命 
周期 ,顾名思义 就 是 从 出 生 到 最 后 的 消亡 这 整个 的 一 个 过 程 ,所 以 信息 安全 工程 不 仅 要 考 
虑 系统 的 规划 、 分 析 ,设计 和 建设 阶段 ,还 要 考虑 系统 的 管理 与 运 维 阶段 ,一 直到 系统 废弃 
不 用 。 在 系统 设计 与 建设 阶段 ,包括 : 发 掘 信息 保护 需求 .定义 系统 安全 要 求 . 设 计 系统 
安全 体系 结构 .开展 详细 的 安全 设计 ,实现 系统 安全 、 评 估 有 效 性 。 

这 个 过 程 面 对 的 主要 是 静态 的 信息 安全 问题 ,包括 : 怎么 根据 组 织 的 方针 和 策略 制 
定安 全 管理 政策 ,怎么 根据 风险 分 析 和 评估 设计 系统 的 安全 防御 措施 ,以 及 怎么 制定 安全 
应 急 预 案 来 防止 灾难 发 生 时 带 来 的 数据 丢失 等 对 组 织 有 较 大 影响 的 事件 发 生 。 
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在 系统 管理 与 运 维 阶段 ,除了 对 系统 软件 、 硬 件 .人 员 以 及 密 钥 等 方面 进行 管理 ,还 要 
对 系统 的 有 效 性 进行 评估 。 信 息 系统 安全 工程 师 要 关注 信息 保护 的 有 效 性 一 一 系统 是 否 
能 够 为 其 任务 所 需 的 信息 提供 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 ,所 采用 的 安 
全 措施 是 否 能 够 发 挥 它 所 应 有 的 效果 ,是 否 能 够 有 效 降低 组 织 的 安全 风险 ,是 否 满足 我 们 
的 安全 目标 。 说 简单 些 就 是 ,是 否 能 够 解决 我 们 在 前 期 所 提出 的 问题 。 这 个 阶段 面 对 的 
主要 是 动态 信息 安全 问题 ,所 面临 的 安全 问题 很 有 可 能 在 我 们 不 确定 的 时 间 和 地 点 发 
生 。 在 这 个 阶段 ,我 们 要 观察 系统 内 都 发 生 了 哪些 安全 活动 ,这 些 活 动 是 否 是 我 们 可 
以 控制 的 ,是 否 会 带 来 额外 的 安全 风险 ,在 上 个 阶段 制定 的 管理 政策 是 否 有 效 , 需 不 需 
要 根据 具体 情况 进行 调整 。 例 如 组 织 发 生 了 大 的 变故 ,或 者 通过 日 志 审 计 发 现 了 新 的 
问题 。 这 时 就 需要 调整 相应 的 管理 策略 。 在 系统 的 运 维 阶段 ,最 主要 的 就 是 看 安全 措 
施 是 否 发 挥 了 作用 ,能 否 达到 安全 目标 ,以 及 安全 应 急 预 案 的 演练 与 执行 情况 是 否 符 
合 预期 。 

可 见 ,我 们 在 案例 中 所 做 的 事情 还 不 够 ,问题 集 也 没有 找 全 ,也 就 是 说 ,很 多 问题 都 没 
有 考虑 到 。 例 如 ,关于 ISSE 里 都 有 哪些 活动 ? 系统 是 干什么 用 的 ? 系统 面临 哪些 风险 ? 
需要 达到 怎样 的 安全 水 平 ? 有 哪些 方法 可 以 达到 这 样 的 安全 水 平 ? 总 体 思路 是 什么 ? 具 
体 方案 是 什么 ? 

按照 方案 把 安全 措施 部 署 好 ,保证 这 些 安全 措施 确实 发 挥 了 作用 ,这 可 以 通过 测试 评 
估 来 实现 ,发 生 安全 事件 或 安全 措施 运行 不 正常 的 情况 得 及 时 发 现 ,以 问题 为 导向 ,及 时 
进行 反馈 控制 以 提供 信息 安全 保障 。 团 结 一 致 ,协调 配合 把 以 上 事情 做 好 ,过 程 记录 整理 
好 ,验收 测试 能 证 明 安 全 措施 的 功能 ,性 能 都 达标 了 。 

ISSE 活动 包括 : 分 析 并 描述 信息 保障 需求 ;在 早期 的 系统 工程 过 程 中 ,基于 需求 而 
产生 信息 保障 的 要 求 ;以 一 个 可 接受 的 信息 保障 的 风险 水 准 来 满足 要 求 ;建立 一 个 基于 要 
求 的 功能 性 的 信息 保障 体系 ;将 信息 保护 功能 分 配 到 一 个 物理 和 逻辑 的 体系 之 中 去 ;设计 
系统 ;部 署 信息 保障 体系 ;以 成 本 、 进 度 和 操作 的 适宜 性 及 有 效 性 等 因素 来 平衡 信息 保障 
风险 管理 和 其 他 的 ISSE 事项 ;研究 与 其 他 的 信息 保障 和 系统 工程 原则 如 何 进行 权衡 ;将 
ISSE 过 程 与 系统 工程 和 采购 过 程 相 结合 ;测试 系统 以 核实 信息 保障 的 设计 并 验证 信息 保 
障 要 求 ;在 实施 完成 后 进行 用 户 支持 .并 根据 其 需求 进行 调整 。 

下 面 来 看 ISSE 过 程 的 第 一 个 阶段 系统 规划 阶段 。 

知识 子 域 : 系统 规划 一 一 发 掘 信息 保 护 需求 ,这 里 要 理解 两 个 观点 。 第 一 ,理解 风险 
评估 结果 是 安全 需求 的 重要 决定 因素 ;第 二 ,理解 国家 政策 法 规 和 合同 协议 等 符合 性 要 求 
是 安全 需求 的 重要 决定 因素 。 

本 阶段 的 主要 活动 包括 : 对 信息 管理 过 程 进行 建 模 ; 定 义 信息 威胁 ;确立 信息 保护 需 
求 的 优先 次 序 ; 准 备 信息 保护 策略 :获得 用 户 / 使 用 者 的 许可 。 

确保 任务 需求 中 包含 了 信息 保护 需求 ,系统 功能 中 包含 了 信息 保护 功能 ,系统 中 包含 
信息 保护 体系 结构 和 机 制 。 

风险 评估 结果 是 安全 需求 的 重要 决定 因素 : 一 切 工程 此 有 需求 ;信息 安全 工程 的 需 
求 并 不 是 工程 的 起 点 ,应 从 风险 评估 结果 分 析 中 得 出 ;需求 与 风险 的 一 致 性 越 强 , 则 需求 
越 准 确 。 因 此 信息 安全 工程 应 从 风险 着 手 制定 需求 。 


Ne/ 信息 安全 工程 


。 发 掘 信息 保护 需求 - 子 任务 


4 任务 -01.1 分 析 机 构 的 任务 

4 任务 -01.2 判断 信息 对 机 构 任务 的 关系 和 重要 性 
4 任务 -01.3 确定 法 律 和 法 规 的 要 求 

4 任务 -01.4 确定 威胁 的 类 别 

4 任务 -01.5 判断 影响 

4 任务 -01.6 确定 安全 服务 

4 任务 -01.7 记录 信息 保护 需求 

4 任务 -01.8 记录 安全 管理 的 角色 和 责任 

4 任务 -01.9 标识 设计 约束 


4 任务 -01. 10 评估 信息 保护 的 有 效 性 
里 子 任务 -01. 10.1 提供 /展示 文档 化 的 信息 保护 需求 
里 子 任务 -01. 10.1 对 信息 保护 需求 的 认同 
4 任务 -01. 11 支持 系统 的 认证 和 认可 
里 子 任务 -01. 11.1 标识 指派 的 批准 官员 /认可 员 
和 子 任务 -01.11.2 标识 认证 专家 /认证 员 
a 子 任务 -01. 11.3 确定 可 适用 的 认证 .认可 和 采 办 过 程 
里 子 任务 -01. 11.4 确保 认可 员 和 认证 员 对 信息 保护 需求 的 认同 
风险 评估 结果 是 安全 需求 的 重要 决定 因素 。 一 切 工程 此 有 需求 ,信息 安全 工程 的 需 
求 并 不 是 工程 的 起 点 ,信息 安全 工程 的 需求 应 从 风险 评估 结果 分 析 中 得 出 ,需求 与 风险 的 
一 致 性 越 强 , 则 需求 越 准确 。 因 此 信息 安全 工程 应 从 风险 着 手 , 制 定 需求 ,这 也 符合 信息 
安全 保障 (Information Assurance,IA) 的 思想 。 
案例 : 某 单位 部 署 完成 网 络 准 入 系统 ,有 效 降低 了 终端 的 安全 风险 和 内 网 安全 风险 ; 
开展 风险 评估 ,提出 应 用 层 安 全 防护 能 力 薄弱 是 其 最 主要 风险 ,识别 了 主要 风险 在 于 外 
网 ,并 且 是 应 用 层次 。 开 展 安 全 项 目 建设 ,部 署 了 桌面 防护 系统 ,建设 内 容 和 效果 却 没 有 
解决 外 网 应 用 层 的 隐患 ,反而 放 在 了 内 部 安全 防范 和 审计 上 ,导致 效率 低下 ,重复 投资 , 资 
源 浪费 。 
原因 分 析 : 缺少 对 现 有 网 络 风险 的 描述 ,没有 有 效 的 需求 提取 与 分 析 ,无 法 找 出 有 效 
的 评审 依据 或 基线 ,因此 无 法 做 到 对 方案 的 评审 .或 者 提出 的 意见 是 协助 其 夯实 风险 识别 
的 过 程 。 
风险 评估 机 制 的 引入 ,解决 了 工程 建设 需求 合理 性 的 问题 ,符合 性 的 问题 如 何 来 解 
决 ? 国家 政策 法 规 和 合同 协议 等 符合 性 要 求 也 是 安全 需求 的 重要 决定 因素 。 
信息 安全 系统 工程 是 在 一 个 综合 的 系统 工程 中 涉及 与 INFOSEC 工程 实践 有 关 的 过 
程 , 它 分析 用 户 的 信息 保障 需求 ,是 系统 工程 学 .系统 采购 风险 管理 .认证 和 鉴定 以 及 生 
命 周期 的 支持 过 程 的 一 部 分 ,是 作为 系统 工程 过 程 的 一 个 自然 扩展 而 给 出 的 。 它 的 过 程 
包括 五 个 阶段 : 系统 规划 阶段 发掘 信 息 保 护 需 求 : 系 统 分 析 阶 段 ,定义 信息 保护 系统 功 
能 ;系统 设计 阶段 ,设计 信息 保护 系统 元 素 ;系统 实施 阶段 ,实施 信息 保护 系统 ,开发 和 安 
装 系统 ;维护 管理 阶段 ,评估 系统 有 效 性 。 运 用 ISSE 中 安全 需求 分 析 的 方法 和 过 程 ,得 
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出 该 信息 安全 系统 建设 的 安全 需求 , 据 此 才能 用 ISSE 的 思想 和 方法 来 指导 信息 安全 系 
统 的 建设 。 

系统 分 析 阶 段 主 要 就 是 定义 信息 保护 系统 。 本 阶段 的 要 求 就 是 要 理解 信息 安全 必须 
与 信息 系统 同步 规划 ,同时 还 要 理解 所 定义 的 信息 保护 系统 的 用 途 、 架 构 等 特征 会 对 安全 
风险 有 较 大 的 影响 。 

信息 安全 工程 建设 应 与 信息 化 工程 建设 同步 规划 、 同 步 设计 、 同 步 实 施 、 同 步 验 收 。 
这 是 国家 的 政策 要 求 ( 国 信 办 【200635 号 文 、 发 改 高 技 [2008】2071 号 文 ;。 这 是 业界 的 最 
佳 实践 ,是 规避 和 解决 层出不穷 的 信息 安全 问题 的 最 有 效 方式 (发 改 高 技 , 即 国家 发 展 和 
改革 委员 会 高 技术 产业 司 )。 

所 以 ,要 保障 的 是 业务 的 安全 ,不 是 简单 的 IT 安全 ,应 根据 业务 目标 和 信息 系统 的 
目标 来 确定 信息 安全 保障 策略 和 安全 目标 ,信息 化 是 业务 发 展 的 重要 组 成 部 分 ,保证 业务 
能 够 健康 稳定 的 运行 和 发 展 。 

定义 信息 安全 系统 ,就 是 要 确定 信息 安全 系统 将 要 保护 什么 ,如 何 实现 其 功能 ,以 及 
描述 信息 安全 系统 的 边界 和 环境 的 联系 情况 。 任 务 的 信息 保护 需求 和 信息 系统 环境 在 这 
里 被 细 化 为 信息 安全 保护 的 对 象 . 需 求 和 功能 集合 。 

一 般 是 通过 确定 信息 保护 目标 、 描 述 系统 联系 、 检 查 信息 保护 需求 和 功能 分 析 等 来 定 
义 信息 安全 系统 的 。 

1. 确定 信息 保护 目标 

信息 保护 目标 与 通常 的 系统 对 象 具有 相同 的 特性 ,例如 对 于 信息 保护 需求 的 明确 性 、 
可 测量 性 ,可 验证 性 、 可 追踪 性 等 。 确 定 信息 保 护 对 象 ,要 保证 它们 的 这 些 有 效 性 度量 性 
质 , 在 描述 每 个 对 象 时 需要 说 明 以 下 内 容 : 

。 信息 保护 目标 支持 系统 中 的 什么 任务 对 象 ; 

。 有 哪些 与 信息 保护 目标 和 任务 相关 的 威胁 ; 

。 失 去 目标 会 有 什么 后 果 ; 

。 受 什么 样 的 信息 保护 策略 或 方针 的 支持 。 

2. 描述 系统 联系 

系统 联系 是 信息 安全 系统 的 边界 和 环境 , 即 系统 与 外 界 交互 的 功能 和 接口 。 在 信息 
安全 工程 中 ,系统 联系 对 于 确定 系统 边界 并 实施 保护 是 很 重要 的 ,任务 目标 、 任 务 信息 处 
理 、 系 统 威胁 、 信 息 安 全 策略 ,设备 等 都 极 大 地 影响 着 系统 边界 与 环境 ,因此 ,描述 系统 联 
系 需 要 做 以 下 工作 : 

"在 系统 的 任务 处 理 过程 中 与 其 他 系统 和 环境 之 间 确 定 物理 的 和 逻辑 的 边界 

。 描述 信息 的 输入 和 输出 、 系 统 与 环境 之 间或 与 其 他 系统 之 间 的 信息 的 双向 流动 

情况 。 

ISSE 的 系统 信息 保护 需求 检查 任务 是 对 上 述 过 程 中 的 分 析 ( 包 括 目 标 、 任 务 、 威 胁 、 
系统 联系 等 ) 进 行 特 征 检 查 。 当 信息 保护 需求 从 最 初 的 信息 保障 的 用 户 愿 望 , 经 过 充分 定 
义 , 并 演变 为 一 系列 的 系统 保护 规范 时 .信息 保护 的 需求 能 力 可 能 出 现 缺 失 , 因 此 ,需要 检 
查 信息 保护 需求 的 正确 性 、 完 整 性 一致 性 、 依 赖 性 、 无 冲突 和 可 测试 性 等 特征 。 
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3. 功能 分 析 

ISSE 使 用 许多 系统 工程 工具 来 理解 信息 保护 功能 ,并 将 功能 分 配给 系统 中 各 种 信息 
保护 的 配置 项 。 在 定义 信息 安全 系统 中 ,对 功能 进行 分 析 , 必须 分 析 备 选 系统 体系 结构 、 
信息 保护 配置 项 ,以 及 信息 保护 子 系统 是 如 何 成 为 整个 系统 一 部 分 的 ,这 些 功能 是 否 能 达 
到 原本 设 定 的 目标 ,并 理解 它们 如 何 才 能 与 整个 系统 协调 工作 。 

信息 化 建设 与 信息 安全 建设 脱节 的 问题 往往 是 由 于 对 系统 缺乏 安全 方面 的 认识 和 了 
解 ,没有 清晰 .完整 定义 和 描述 信息 系统 ,因此 信息 系统 的 决策 层 和 管理 层 应 树立 以 下 
认识 : 

。“2071 号 文 " 明 确 提 出 了 电子 政务 建设 项 目 中 的 信息 安全 一 票 否决 制 ; 

。 安全 的 发 展 滞后 于 业务 的 发 展 是 诸多 安全 问题 涌现 的 “罪魁 祸 首 ”， 

。 方案 设计 要 有 安全 部 分 ,项 目 验收 要 做 风险 评估 。 

只 有 决策 层 和 管理 层 树立 良好 的 安全 意识 和 原则 ,才能 真正 实现 “高 枕 无 忧 ”。 

信息 系统 的 用 途 、 架 构 等 特征 对 安全 风险 特征 的 影响 如 下 : 

(1) 任何 系统 都 是 有 风险 的 。 

(2) 同等 的 应 用 系统 ,采用 不 同 的 技术 架构 ,其 安全 风险 也 是 不 同 的 。 例 如 ,同样 部 
署 在 省 级 单位 的 税务 综合 征管 系统 数据 库 , 在 A 省 采用 汇聚 交换 机 ,集中 管理 方式 ;在 B 
省 采用 直 连 核心 交换 机 ,分 散 管理 方式 。 两 种 不 同 的 部 署 方式 ,也 使 得 其 面临 的 风险 
杀 异 。 

(3) 同样 一 项 IT 技术 应 用 在 不 同 的 业务 系统 中 ,其 风险 程度 不 一 定 相同 。 例 如 建设 
银行 网 上 银行 系统 和 某 公 司 的 内 部 办 公 自 动 化 系统 ,同样 采用 Oracle 数据 库 , 但 是 两 个 
系统 面临 的 安全 风险 完全 不 同 。 

综 上 所 述 , 从 信息 安全 工程 /保障 的 角度 定义 或 描述 信息 系统 时 ,应 以 保障 业务 安全 
的 思想 为 基础 ,清楚 认识 业务 安全 风险 以 及 为 业务 提供 服务 /支撑 的 信息 系统 的 安全 风 
险 , 从 而 科学 全面 地 认识 信息 系统 及 其 安全 属性 。 

系统 设计 阶段 ,就 是 要 设计 信息 保护 系统 ,因此 这 个 阶段 要 求 信息 安全 不 仅 要 和 信息 
系统 同步 规划 ,还 必须 要 与 信息 系统 同步 设计 。 同 时 理解 根据 安全 需求 有 针对 性 地 设计 
安全 措施 的 必要 性 ,也 就 是 说 设计 对 象 要 有 针对 性 ,要 依据 我 们 提出 的 安全 需求 。 

下 面 来 看 一 下 定义 与 设计 的 区 别 ,这样 可 以 让 我 们 对 这 两 个 阶段 的 分 工 有 更 为 清晰 
的 认识 和 理解 。 

定义 系统 要 求 所 要 做 的 是 通过 分 析 明 确 所 有 的 系统 功能 ,明确 系统 的 内 部 接口 和 外 
部 接口 ,确定 系统 的 物理 边界 和 逻辑 边界 ;而 设计 信息 保护 系统 就 是 要 设计 系统 的 体系 结 
构 , 明 确 系统 中 都 有 哪些 要 素 ,哪些 组 件 ,然后 将 确定 好 的 功能 分 配 到 目标 系统 中 的 各 要 
素 。 明 确 各 要 素 及 其 之 间 的 关系 ,例如 向 系统 的 安全 要 素 分 配 安全 机 制 ,确定 需要 定制 的 
安全 产品 ,检验 设计 要 素 和 系统 接口 (内 部 及 外 部 ) 等 。 

系统 设计 阶段 设计 步骤 如 下 : 

明确 目标 系统 后 ,将 构造 信息 系统 的 体系 结构 ,详细 说 明 信 息 保护 系统 的 设计 方案 ， 
这 时 ISSE 工程 师 要 进行 功能 分 配 \ 信 息 保护 概要 设计 和 详细 设计 等 工作 。 
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1. 功能 分 配 


当 某 种 系统 功能 被 定位 到 人 、 软 件 \ 硬 件 或 固件 上 后 ,同时 也 就 附 上 了 相对 应 的 信息 
保护 功能 。ISSE 应 该 为 系统 制定 一 个 理论 和 实践 上 都 可 行 的 .协调 一 致 的 信息 保护 系统 
体系 构架 。 功 能 分 配 过 程 包括 以 下 内 容 : 

。 提炼 、 验 证 并 检查 安全 要 求 与 威胁 评估 的 技术 原理 ; 

。 确保 一 系列 的 低层 要 求 能 够 满足 系统 级 的 要 求 ; 

。 完成 系统 级 体系 结构 ,配置 项 和 接口 定义 。 

2. 信息 保护 概要 设计 

在 需求 和 构架 已 经 确定 的 前 提 下 ,ISSE 进入 了 信息 保护 的 概要 设计 阶段 。 在 这 一 阶 
段 ,ISSE 工程 师 将 制定 出 系统 建行 的 规范 ,其 中 至 少 包括 : 

。 检查, 细 化 并 改进 前 期 需求 和 定义 的 成 果 , 特 别 是 配置 项 的 定义 和 接口 规范 ; 

。 从 现在 解决 方案 中 ,找到 与 配置 项 一 致 的 方案 ,并 验证 是 否 满足 高 层 信 息 保 护 

要 求 ; 

。 加 入 系统 工程 过 程 ,并 支持 认证 /认可 和 管理 决策 ,提出 风险 分 析 结 果 。 

3. 详细 的 信息 保护 设计 

进一步 完善 配置 级 方案 , 细 化 底层 产品 规范 ,检查 每 个 细节 规范 的 完整 性 .兼容 性 、 可 
验证 性 、 安 全 风险 和 可 追踪 性 等 。 详 细 设计 包括 以 下 内 容 : 

。 检查 、 细 化 并 改进 预 设计 阶段 的 成 果 ; 

对 解决 方案 提供 细节 设计 资料 以 支持 系统 层 和 配置 层 的 设计 ; 

检查 关键 设计 的 原理 和 合理 性 ; 

设计 信息 保护 测试 与 评估 程序 ; 

实施 并 追踪 信息 保护 的 保障 机 制 ; 

检验 配置 项 层 设计 与 上 层 方案 的 一 致 性 ; 

提供 各 种 测试 数据 ; 

检查 和 更 新 信息 保护 的 风险 与 威胁 计划 ; 

加 入 系统 工程 过 程 .并 支持 认证 /认可 和 管理 决策 ,提出 风险 分 析 结果 。 

信息 安全 建设 必须 与 信息 系统 建设 同步 设计 ,这 是 因为 : 安全 是 信息 系统 建设 过 
程 的 重要 组 成 部 分 ,忽视 了 安全 的 信息 化 建设 是 不 完整 的 ; @ 信 息 系 统 建 设 与 信息 安全 
建设 同步 设计 可 以 避免 重复 投资 ,增强 效益 。 我 们 来 看 两 个 例子 。 

案例 : 某 单 位 在 信息 化 建设 立项 阶段 ,高举 “风险 评估 、 等 级 保护 ”大 旗 , 提 出 “以 风险 
评估 为 依据 、 以 等 级 保护 为 基准 ”, 保 障 信息 化 建设 的 安全 性 ,但 是 在 预算 中 都 没有 风险 评 
佑 经费; 在 需求 书 中 明确 了 边界 防护 安全 需求 , 却 没 有 后 续 的 安全 设计 。 访谈 其 管理 人 员 
得 到 回答 :“ 安 全 只 是 保障 信息 化 经 费 能 够 充足 的 一 种 手段 。” 

安全 不 能 只 停留 在 立项 报告 .风险 评估 报告 和 需求 书 中 ,不 是 为 了 通过 评审 和 立项 需 
要 而 做 的 “ 假 把 式 ”。 安全 是 信息 系统 建设 过 程 的 重要 组 成 部 分 ,忽视 了 安全 的 信息 化 建 
设 是 不 完整 的 。 

案例 : 某 单 位 网 络 扩容 和 安全 建设 项 目 , 首 先 更 换 了 交换 机 设备 , 欲 再 使 用 802. 1X 
认证 技术 部 署 网 络 准 入 产品 ,发 现 新 增 交换 机 无 法 匹配 网 络 准 入 产品 的 认证 机 制 , 于 是 再 
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次 更 换 全 部 楼 层 交换 机 ,问题 得 到 解决 。 这 表面 上 是 产品 的 普 适 性 问题 ,根源 却 是 信息 化 
建设 在 设计 部 署 过 程 缺 乏 统一 的 安全 考虑 。 因 此 ,信息 系统 建设 与 信息 安全 建设 同步 设 
计 可 以 避免 重复 投资 ,提升 效益 。 

同样 ,根据 安全 需求 有 针对 性 地 设计 安全 措施 是 非常 必要 的 。 安 全 设计 要 依据 安全 需 
求 ,安全 设计 要 具备 可 行 性 和 一 定 的 前 瞻 性 ,达到 风险 一 需求 一 设计 的 一 致 性 和 协调 性 。 

案例 : 某 单 位 提出 安全 建设 的 需求 是 加 强 网 络 边界 的 防护 ,集成 单位 根据 需求 ,制定 
的 设计 方案 中 包含 有 数据 库 审 计 产品 .桌面 防护 系统 .SoC 系统 等 ,没有 实现 边界 防护 的 
目标 , 却 实 现 了 内 部 防范 与 审计 。 因 此 ,安全 设计 要 依据 安全 需求 。 

案例 : 某 行业 欲 解 决 病毒 防治 问题 ,在 部 署 了 防 病毒 软件 后 ,提出 建立 病毒 爆发 事前 
预警 机 制 , 于 是 开展 了 部 署 “ 防 病毒 预警 "产品 。 病 毒 预警 的 功能 实际 上 就 是 病毒 日 志 的 
汇总 和 统计 。 所 谓 预警 ,目前 只 能 做 到 用 前 5 天 的 数据 ,预测 后 1 天 的 病毒 , 且 误差 在 2 
天 左右 ,病毒 预警 产品 只 支持 特定 品牌 的 防 病毒 软件 。 诸 多 省 级 单位 为 了 适应 该 预警 系 
统 ,更 换 了 原 有 的 防 病毒 软件 ,使 特定 品牌 的 病毒 软件 “统一 江湖 ”。 因 此 ,安全 设计 要 具 
备 可 行 性 。 

再 看 下 一 个 阶段 一 一 实施 信息 保护 系统 ,在 这 个 阶段 要 求 大 家 理解 这 样 两 个 观点 : 
信息 安全 除了 要 与 信息 系统 同步 规划 、 同 步 设计 以 外 ,信息 安全 还 必须 与 信息 系统 同步 实 
施 . 同 步 运行 ;同时 ,要 理解 在 实施 过 程 中 所 进行 的 安全 防护 措施 的 部 署 要 符合 总 体 安全 
需求 和 设计 方案 。 

这 一 阶段 的 目标 是 ,将 满足 信息 安全 需求 的 信息 保护 子 系统 中 的 各 配置 项 购买 或 建 
造 出 来 ,然后 组 装 、 集 成 检验、 认证 和 评估 其 结果 。 

实施 信息 保护 系统 的 流程 通常 包括 : 

。 购买 /开发 采购 ; 

。 建设 ,集成 ; 

。 测试 .认证 。 

1. 采购 /开发 部 件 

一 般 来 说 ,要 根据 市 场 产 品 的 研究 、 偏 好 和 最 终 的 效果 ,来 决定 是 采用 购买 还 是 自行 
生产 的 方式 来 取得 部 件 。 购 买 /生产 的 决定 应 该 通盘 考虑 安全 因素 、 可 操作 性 、 性 能 、 成 
本 .进度 .风险 等 影响 。 在 购买 时 ,对 于 大 量 生产 且 相对 低 成 本 的 商业 现货 供应 和 由 政府 
机 构 创 建 的 技术 团体 开发 的 政府 现货 供应 等 都 可 作为 部 件 采购 的 考虑 范围 。 在 采购 部 件 
时 ,要 注意 考虑 以 下 因素 : 

。 确 保 考虑 了 全 部 相关 的 安全 因素 ; 

。 查看 现 有 产品 是 否 能 满足 系统 部 件 的 需求 ,最 好 有 多 种 产品 可 供 选 择 ; 
验证 一 系列 潜在 的 可 行 性 选项 ; 
考虑 将 来 技术 的 发 展 , 新 技术 和 新 产品 如 何 运用 到 系统 中 去 。 

2. 建造 集成 系统 

建造 系统 的 过 程 ,是 确保 已 设计 出 必要 的 保护 机 制 .并 使 该 机 制 在 系统 实施 中 得 以 实 
现 。 与 许多 系统 一 样 , 信 息 保护 系统 也 会 受到 许多 因素 的 影响 来 加 强 或 前 弱 其 效果 ,这 些 
因素 决定 了 信息 保护 对 系统 的 适宜 程度 。 所 以 ,在 建造 系统 中 ,要 重视 以 下 问题 : 
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部 件 的 集成 是 否 满足 系统 安全 规范 ? 


。 部 件 的 配置 是 否 保 证 了 必要 的 安全 特性 ,以 及 安全 参数 能 否 正 确 配 置 以 便 提 供 所 
要 求 的 安全 服务 ? 
对 设备 .部件 是 否 有 物理 安全 保护 措施 ? 

。 组 装 .建造 系统 的 人 员 是 否 对 工作 流程 有 足够 的 知识 和 权限 ? 

3. 测试 系统 

ISSE 要 给 出 一 些 与 信息 保护 相关 的 测试 计划 和 工作 流程 ,还 要 给 出 相关 的 测试 实 
例 . 工 具 、 软 硬件 等 ,这 些 测试 系统 的 工作 包括 : 

。 检查、 细 化 并 改进 设计 信息 安全 系统 的 阶段 结果 ; 
检验 解决 方案 的 信息 保护 需求 和 约束 限制 等 条 件 , 并 实施 相关 的 系统 验证 和 确认 
机 制 与 决策 ; 
。 跟踪 实施 与 系统 实施 和 测试 相关 的 系统 保障 机 制 ; 
。 鉴别 测试 数据 的 可 用 性 ; 
提供 安全 支持 计划 ,包括 逻辑 上 的 和 有 关 维 护 、 培 训 等 方面 ; 

。 加 入 系统 工程 过 程 ,并 支持 认证 /认可 和 管理 决策 ,提出 风险 分 析 结 果 。 

下 面 我 们 通过 例子 来 加 以 说 明 。 

案例 : 某 部 委 开 展 网 络 改造 建设 项 目 ,实施 方 案 中 安排 首先 完成 网 络 制 接 , 之 后 进行 
防火 墙 部 署 和 配置 ,然后 进行 VLAN 划分 ,这 导致 系统 频繁 出 现 网 络 中 断 , 疲 于 应 急 。 因 
此 ,安全 建设 是 信息 化 建设 的 重要 保障 和 基础 ,不 能 分 割 置 之 。 

案例 : 某 部 委 开 展 应 用 系统 建设 项 目 ,由 于 在 开发 过 程 中 没有 使 用 必要 的 安全 控制 
措施 (安全 编程 数据 正确 性 处 理 ) ,导致 系统 出 现 诸多 注入 ,溢出 等 漏洞 ,危害 系统 安全 。 
因此 ,信息 化 建设 中 必须 引入 必要 的 安全 控制 手段 和 措施 ,安全 手段 和 措施 必须 与 信息 化 
建设 同步 落实 到 位 。 

案例 : 某 行 业 开展 对 重要 网 络 设备 和 服务 器 设备 的 安全 审计 项 目 , 设 计 方 案 中 要 求 
各 省 级 单位 把 核心 网 络 设备 ,核心 系统 的 主机 设备 ,边界 安全 设备 等 纳入 审计 范围 ,实施 
过 程 中 由 于 产品 通用 性 差 ,各 单位 有 螨 报 数据 企图 等 原因 ,导致 审计 范围 缩水 严重 ,没有 
达到 预期 效果 。 因 此 ,安全 措施 部 署 和 实施 要 依据 安全 设计 。 

案例 : 某 行业 采购 了 一 批 网 络 行为 管理 产品 ,以 加 强 对 互联 网 访问 的 管理 和 审计 ,在 
该 产品 到 货 验收 时 发 现 , 到 货 产品 的 外 观 与 送 检 产品 的 外 观 不 一 致 , 故 要 求 其 把 到 货 产品 
交 邓 检测 机 构 进 行 比 对 测试 ,根据 比 对 测试 结果 ,判断 其 是 否 能 够 在 工程 中 予以 继续 应 
用 。 因 此 ,部 署 过 程 应 重点 关注 变更 环节 。 

可 见 , 安 全 工程 应 重点 把 握 : 风险 、 需 求 设计、 实施 的 一 致 性 和 协调 性 ,以 风险 评估 
为 起 点 ,对 信息 安全 系统 进行 安全 需求 分 析 ,根据 需要 分 析 的 结果 进行 系统 设计 和 实施 ， 
在 设计 和 实施 阶段 ,同样 也 要 反 过 来 检查 当初 的 安全 需求 是 否 正确 ,同时 ,在 每 个 过 程 都 
贯穿 着 风险 评估 。 

在 安全 工程 的 实施 过 程 中 还 要 考虑 工程 监理 。 安 全 工程 的 实施 是 为 信息 与 网 络 系统 
设计 实现 安全 防护 体系 的 最 后 一 个 阶段 的 任务 ,这 个 阶段 做 不 好 ,以 前 所 有 的 工作 (制定 
安全 策略 、 风 险 分 析 与 评估 、 需 求 分 析 等 ) 等 于 徒劳 。 安 全 工程 的 实施 也 是 一 个 系统 化 的 
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过 程 ,包含 了 很 多 领域 的 内 容 ,需要 认真 ,仔细 地 对 待 。 最 关键 的 一 点 是 要 保证 安全 工程 
的 质量 ,避免 重复 建设 和 垃圾 工程 。 

为 了 保证 安全 工程 的 质量 ,有 三 个 方面 的 工作 必须 得 到 重视 : 一 是 选择 一 个 科学 、 合 
适 的 实施 方案 作为 工程 实施 的 指导 ;二 是 选择 一 个 工程 能 力 可 靠 的 施工 单位 负责 工程 的 
建设 ;三 是 对 工程 实施 的 整个 过 程 进 行 监理 。 工 程 监理 工作 的 流程 基本 包含 以 下 三 个 阶 
段 : 工程 实施 前 的 监理 .工程 实施 中 的 监理 .工程 实施 后 的 监理 。 

信息 保护 系统 的 评价 阶段 ,主要 是 评估 信息 保护 系统 的 有 效 性 , 主要 要 理解 信息 安全 
工作 是 需要 覆盖 系统 全 生命 周期 ,ISSE 建设 的 本 身 也 是 按照 系统 的 全 生命 周期 来 设计 和 
实施 的 , 它 的 体系 结构 是 一 个 顺序 结构 ,前 一 环节 的 输出 结果 , 正 是 下 一 阶段 的 输入 ,具有 
严格 的 顺序 性 ,是 按照 时 间 维 的 发 展 。 违 背 这 种 顺序 性 将 导致 系统 建设 的 盲目 性 ,最 终 会 
导致 信息 系统 安全 工程 建设 的 失败 。 还 要 理解 持续 的 风险 评估 和 风险 控制 是 保障 系统 安 
全 的 必要 工作 。 

风险 评估 是 重要 系统 验收 和 投入 运行 前 的 必要 工作 ,系统 验收 引入 风险 评估 机 制 是 
政策 的 要 求 。 风 险 评估 是 确保 和 验证 安全 措施 实现 的 重要 手段 。 

来 看 一 个 情景 : 某 行业 通过 五 年 安全 防护 体系 建设 ,为 全 国 省 级 单位 部 署 了 12 款 安 
全 产品 。 完 成 了 产品 部 署 工作 ,信息 安全 工作 就 高 枕 无 忧 了 。 但 是 运 维 阶段 设备 无 人 管 
理 ,日 志 无 人 分 析 ,配置 无 人 更 新 。 

这 个 场景 反映 出 什么 安全 问题 ?只 有 产品 进行 了 使 用 和 配置 才能 保证 其 功能 的 正常 
发 挥 ,以 检验 该 安全 措施 是 否 可 以 满足 我 们 的 安全 需求 ,达到 我 们 的 安全 目标 ,降低 系统 
的 安全 风险 ,所 以 有 些 领导 认为 信息 安全 工程 就 是 产品 部 署 ,部 署 上 架 后 就 可 以 签字 验 
收 ,使 用 和 配置 是 运 维 的 事情 ,这 是 个 错误 的 认识 。 设 计 和 部 署 的 信息 安全 措施 应 发 挥 应 
有 的 作用 ,并 且 “ 安 全 措施 "必须 予以 落实 才 可 以 称 为 安全 措施 ,在 运 维 阶段 要 有 专门 的 人 
员 负 责 进 行 管理 维护 ,要 有 专门 的 安全 人 员 负 责 日 志 分 析 、 配 置 更 新 等 ,这 样 才能 保证 安 
全 设备 发 挥 其 自身 的 功效 ,安全 措施 才能 发 挥 作用 。 并 且 安 全 措施 要 与 应 用 系统 同时 落 
实 才能 真正 发 挥 其 安全 作用 ,保证 业务 的 正常 运行 和 稳定 开展 。 

再 来 看 一 个 场景 : 部 署 了 防火 墙 产品 ,但 为 了 视频 会 议 不 受 “ 影 响 ”, 策 略为 透明 全 通 
模式 , 短 时 的 畅通 换 来 的 是 病毒 泛滥 、 和 人 侵 频 发 ,网 络 瘫痪 。 这 种 现象 确实 存在 , 某 单位 通 
信 部 门 负 责 单位 与 上 级 和 下 级 的 电视 电话 会 议 系 统 的 运行 和 保障 ,本 来 通信 设备 是 可 以 
加 密 的 ,可 是 一 旦 启用 加 密 那 个 功能 ,对 电视 电话 会 议 的 传输 效率 和 效果 会 有 影响 ,有 时 
还 可 能 出 现 一 些 不 可 知 的 问题 ,所 以 他 们 在 使 用 时 干脆 就 不 启用 加 密 模式 ,直接 是 全 通 模 
式 , 这 给 信息 安全 带 来 了 很 大 隐患 。 因 此 ,安全 与 效率 的 关系 是 互相 促进 的 ,系统 的 效率 
是 靠 安全 来 保障 的 ,以 牺牲 安全 为 代价 换取 系统 效率 的 行为 是 短视 行为 。 信 息 安全 工程 
常 伴 有 “影响 效率 或 隐私 ”的 阻力 ,应 正确 认识 、 做 好 宣讲 .果断 行事 ,长 痛 不 如 短 痛 ,确保 
长 治 久 安 。 

2071 号 文件 (关于 加 强国 家 电子 政务 工程 建设 项 目 信 息 安全 风险 评估 工作 的 通知 》 
要 求 : 电子 政务 建设 项 目 应 开展 安全 风险 评估 工作 。 建 设 单位 应 在 试 运行 期 间 开 展 风 险 
评估 。 项 目 验 收 申 请 时 应 提交 安全 风险 评估 报告 。 可 以 看 出 ,系统 验收 引入 风险 评估 机 
制 是 政策 的 要 求 。 下 面 来 看 两 个 例子 。 
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(1) 某 单位 在 信息 安全 策略 中 明确 指出 ,信息 化 建设 项 目 在 试 运行 阶段 必须 执行 安 
全 风险 评估 ,并 将 评估 结果 和 整改 情况 作为 终 验 和 付款 的 重要 依据 。 

(2) 某 部 委 信息 安全 处 长 : “风险 评估 的 引入 即 保证 和 验证 了 系统 的 安全 有 效 性 , 同 
时 也 分 担 了 部 分 工程 风险 。 我 们 工程 验收 评审 不 再 只 凭 甲 方 意见 和 乙方 的 汇报 ,风险 评 
估 使 我 们 找到 了 一 种 更 为 科学 的 手段 来 验证 安全 ,更 找到 了 一 种 更 为 可 靠 的 角色 来 分 担 
风险 。” 

因此 ,信息 安全 工作 不 是 一 劳 永 逸 的 ,需要 在 全 生命 周期 予以 重视 。 

案例 : 四 川 某 责任 公司 是 国家 重点 企业 ,是 一 家 国家 二 级 涉 密 企业 。 厂 领导 重视 信 
息 化 建设 ,目前 已 经 基本 形成 了 军品 设计 、 财 务 管理 等 局 域 网 。 不 过 目前 企业 的 信息 系统 
规模 小 ,信息 应 用 简单 ,主要 在 三 个 主要 办 公 区 域 采用 了 3 个 HUB 进行 本 部 门 的 网 络 连 
接 (这 三 个 网 之 间 无 相互 连接 ), 其 拓扑 示意 图 如 图 2-5 所 示 。 
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图 2-5 拓扑 示意 图 





1. 信息 系统 现状 
(1) xxxx 企 业 目 前 的 信息 系统 组 成 如 下 : 
。 单机 办 公共 计 100 多 台 , 主 要 运行 MS Office 软件 ; 
。 财务 审计 部 和 技术 管理 部 的 计算 机 接 于 各 自 的 HUB 上 ,目的 是 网 络 办 公 和 共享 
打印 机 ; 
。 基于 非 网 管 的 .同房 间 使 用 的 交换 机 组 成 的 临时 网 络 , 主 要 运行 CAD 系统 ,目的 
是 共享 文件 和 打印 机 。 
(2) 信息 系统 的 资产 : 全 厂 的 100 多 台 PC, 以 及 CAD 和 财务 数据 。 
(3) 信息 系统 的 管理 : 目前 是 “ 谁 使 用 、 谁 负责 、 谁 运行 维护 ”的 状态 ,没有 专业 的 信 
息 技 术 部 门 统一 管理 。 
(4) 信息 系统 的 应 用 系统 及 重要 性 : 应 用 系统 包括 财务 系统 和 CAD 联网 应 用 ,这 两 
个 系统 中 CAD 是 该 企业 的 业务 龙头 ,有 较 大 的 重要 性 。 
(5) 信息 系统 之 间 的 互联 关系 : 实现 了 和 国际 互联 网 的 物理 隔离 ,没有 和 其 他 网 络 
(6) 系统 安全 管理 的 组 织 机 构 及 措施 : 成 立 了 保密 办 ,负责 检查 和 教育 ,确保 应 用 系 
统 同 国际 互联 网 的 物理 隔离 。 
(7) 信息 系统 承载 的 密级 : 目前 的 单个 计算 机 绝 大 部 分 不 涉 密 , 全 厂 涉 密 等 级 最 高 
为 秘密 级 ,其 主要 集中 在 设计 部 门 和 管理 部 门 。 
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(8) 涉 密 人 员 及 涉 密 计算 机 设备 状况 : 涉 密 人 员 和 涉 密 计算 机 设备 均 有 良好 的 制度 
管理 。 目 前 涉 密 人 员 定 员 明 确 , 涉 密 计算 机 的 设备 运行 状况 也 良好 ,实行 “ 谁 使 用 谁 负责 ， 
谁 应 用 谁 维护 ”的 管理 模式 。 

2. 建设 目标 和 原则 

1) 建设 目标 

有 两 个 目标 : 

。 搭建 企业 局 域 网 平台 ; 

。 同步 建设 企业 安全 保密 系统 ,满足 保密 资格 认证 的 要 求 。 

2) 建设 原则 

。 规范 定 密 ,准确 定 级 ; 

。 依据 标准 ,同步 建设 ; 

。 突 出 重点 ,确保 核心 ; 

。 明确 责任 ,加 强 监督 。 

以 上 32 字 原 则 是 本 次 方案 设计 的 政策 性 指导 。 

第 一 句 : 规范 定 密 ,准确 定 级 。 该 军工 企业 的 信息 定 密 是 由 保密 保卫 部 根据 中 国 二 
航 的 相关 规定 负责 定 密 ,信息 确定 的 密级 为 : 秘密 级 。 其 中 明确 涉 密 信息 主要 是 围绕 科 
研 生产 产生 的 信息 和 上 级 部 门 的 密级 文件 (对 于 来 自 上 级 部 门 的 ,所 占 比 例 很 少 的 机 密级 文 
件 , 将 不 允许 进入 本 涉 密 计算 机 信息 系统 中 ;严格 限定 将 这 些 机 密级 文件 采用 单机 处 理 )。 

第 二 句 : 依据 标准 ,同步 建设 。 根 据 相关 国家 标准 ,在 搭建 单位 局 域 网 时 同步 建设 安 


全 系统 。 
第 三 句 : 突出 重点 ,确保 核心 。 要 建立 信息 中 心 ,集中 存放 产品 数据 ,确实 保障 核心 


第 四 句 : 明确 责任 ,加 强 监督 。 单 位 保密 委 同时 明确 各 个 涉 密 部 门 和 人 员 的 责任 ,由 
保卫 保密 部 执行 技术 部 协助 加 强 对 各 个 涉 密 系统 和 人 员 的 监督 。 

3. 信息 系统 安全 需求 分 析 

该 军工 企业 是 国家 重点 保 军 企业 ,是 国家 二 级 涉 密 单位 ,目前 该 单位 的 信息 化 建设 还 
只 是 三 个 局 域 网 ,包括 军品 设计 、 财 务 管理 和 技术 管理 的 三 个 局 域 网 。 为 了 适应 工作 需 
要 ,单位 要 建设 一 个 安全 稳定、 高效 的 信息 系统 平台 ,而 在 信息 系统 平台 的 建设 工程 中 ， 
办 公 大 楼 的 网 络 建设 是 园区 网 的 核心 。 

下 面 来 看 一 下 需求 的 来 源 。 根 据 上 面 所 说 安全 需求 分 析 的 流程 ,首先 要 明确 任务 信 
息 ,然后 了 解 相关 政策 ,再 对 系统 进行 风险 评估 ,然后 再 看 系统 的 需求 ,根据 这 些 才能 得 出 
系统 的 安全 需求 。 下 面 看 一 下 该 任务 需求 的 来 源 。 

1) 需求 的 来 源 

(1) 国家 信息 安全 政策 的 要 求 。 该 公司 是 国家 二 级 涉 密 单位 ,全 厂 的 信息 化 建设 必 
须 符合 国家 相关 规定 ,同时 要 接受 国家 职能 部 门 的 达标 审查 ,因此 ,计算 机 信息 系统 的 涉 
密 安全 建设 是 重 中 之 重 。 在 本 方案 中 ,网 络 系统 设计 ,结构 化 布线 设计 以 及 机 房 工程 , 均 
严格 遵守 国家 相关 保密 规定 ,进行 对 应 的 密级 工程 设计 与 施工 。 

(2) 科研 生产 的 需要 。 全 厂 在 生产 过 程 中 会 产生 大 量 的 实验 数据 和 文档 资料 ,怎样 
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将 这 些 数据 资料 有 效 地 存储 和 传输 ,以 适应 分 布 式 计算 的 需要 ,同时 保证 安全 性 、 保 密 性 
的 要 求 ? 建立 一 个 流畅 .高速 的 网 络 平台 与 一 个 安全 ,稳定 、 高 效 的 系统 平台 ,是 当前 刻 不 
容 缓 的 任务 。 
(3) 工厂 管理 的 需要 。 目 前 ,计算 机 已 成 为 该 公司 日 常 办 公 的 主要 工具 。 怎 样 有 效 
地 利用 现 有 软 \ 硬 件 资源 ,简化 工作 流程 ,提高 管理 工作 效率 ,实现 办 公 自 动 化 和 信息 资源 
共享 ,同时 实现 安全 有 序 的 管理 ,是 当前 厂 内 各 管理 部 门 的 迫切 需要 。 
设计 一 个 信息 系统 安全 需要 表 , 在 该 表 中 有 以 下 五 项 : 安全 种 类 、 项 目 、 现 状 、 风 险 等 
级 和 安全 需求 。 下 面 给 出 可 以 参考 的 安全 种 类 项 目 ,还 有 相应 的 现状 ,也 可 以 在 这 个 安 
全 种 类 、 项 目的 基础 上 ,再 增加 一 些 需要 进行 安全 需求 分 析 的 项 目 。 
安全 种 类 包括 信息 安全 保密 、 运 行 安全 和 物理 安全 。 在 信息 安全 保密 中 包括 5 个 项 
目 : 访问 控制 ,安全 审计 、 信 息 加 密 与 por nt de 
行 安全 包括 : 存储 备份 ,应急 响应 .运行 管理 .病毒 与 恶意 代码 防护 ;物理 安全 包括 :上 
禁 、 防 雷 、 供 电 、 防 静电 、 防 盗 . 电 磁 泄 漏 和 介质 安全 。 
2) 信息 系统 安全 现状 
该 公司 是 要 进行 全 新 的 信息 系统 建设 ,而 不 是 在 原 有 的 基础 上 进行 改造 。 目 前 进行 
了 简单 的 安全 现状 分 析 ,这 些 安全 现状 分 析 是 风险 评估 的 基础 ,也 是 信息 系统 安全 需求 的 
重要 来 源 之 一 。 
(1) 物理 安全 现状 见 表 2-1。 
表 2-1 物理 安全 现状 

















安全 种 类 项 目 现 状 
门禁 不 具备 
防 雷 原 大 楼 建设 有 防 雷 系统 
供电 仅 有 市 电 供应 
防 静 电 防 盗 无 中 心机 房 ,更 无 防 静电 措施 
电磁 泄漏 办 公 大 楼 与 公共 区 域 距离 在 50m 以 内 
介质 安全 标准 中 有 关于 介质 收发 和 传递 的 新 要 求 


(2) 运行 安全 现状 见 表 2-2。 
表 2-2 运行 安全 现状 














安全 种 类 | 项 目 现 状 
| 存储 备份 中 心机 房 服务 器 和 重要 的 涉 密 单机 缺少 有 效 的 备份 手段 
| 应 急 响应 没有 应 急 响 应 的 制度 与 技术 手段 ,缺乏 定期 培训 和 演练 

运行 安全 | 运行 管理 需要 完善 运行 管理 和 建立 统一 的 安全 运行 管理 中 心 
病毒 与 恶意 代 | 需要 在 系统 内 的 关键 入 口 点 (如 电子 邮件 服务 器 ) 以 及 各 用 户 终端 、 
码 防护 服务 器 和 移动 计算 机 设备 上 采取 病毒 和 恶意 代码 防护 措施 
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(3) 信息 安全 保密 现状 见 表 2-3。 
表 2-3 信息 安全 保密 现状 























安全 种 类 项 目 现 状 
i 现 有 网 络 系统 没有 对 资源 的 访问 控制 ,只 限于 自身 资源 自我 控 
制 ,未 建立 一 套 整 体 的 资源 访问 控制 
i 现 有 的 审计 系统 已 不 满足 新 的 安全 保密 要 求 ,对 资源 的 访问 存 
案 交 在 着 不 可 控 的 现象 ,同时 涉 密 信息 泄漏 时 ,存在 事后 不 可 查 现象 
信息 灾 | 信息 加 密 与 电 破 浊 油 | 综合 布线 采用 非 屏 项 线 
内 网 信息 接 入 点 分 布 广泛 ,不 方便 进行 管理 , 无 法 对 接 入 网 络 
端口 接 入 管理 的 设备 进行 安全 认证 
专 的 安全 软件 或 设备 对 系 络 的 安全 行 
未 统 及 网 络 安 全 检测 | 没有 专业 的 安全 软件 或 设备 对 系统 及 网 络 的 安全 进行 有 效 的 
检测 和 评估 
3) 信和 





分 析 完 该 公司 涉 密 计 算 机 信息 系统 的 现状 后 ,结合 国家 相关 规范 的 要 求 , 可 以 根据 这 
些 来 完成 安全 需求 分 析 表 ( 见 表 2-4) 。 
表 2-4 安全 需求 分 析 表 


























安全 种 类 项 目 现状 风险 等 级 安全 需求 
门禁 不 具备 2 建设 中 心机 房 ,建设 门禁 系统 
物理 安全 
运行 安全 
信息 安全 保密 














要 求 根据 该 企业 涉 密 计 算 机 信息 安全 系统 建设 场景 中 的 具体 情况 ,按照 安全 需求 分 
析 流 程 对 其 进行 分 析 , 写 出 安全 需求 分 析 报告 。 在 分 析 报 告 中 要 求 有 如 下 几 项 : 要 保 
护 的 安全 种 类 和 项 目 ; 加 任务 分 析 ; 加 风险 分 析 ; @ 在 上 面 三 项 的 基础 上 .得 到 安全 需求 
分 析 结 果 。 
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4. 制定 安全 目标 


根据 单位 的 现状 和 即将 建设 的 信息 系统 ,划分 为 两 个 安全 域 : 普通 办 公 计 算 机 系统 
和 涉 密 人 员 使 用 的 计算 机 系统 ,分 别 为 独立 的 安全 域 。 

根据 具体 的 网 络 拓扑 结构 和 网 络 应 用 情况 ,可 以 将 网 络 分 为 如 表 2-5 所 示 的 安全 域 。 
在 划分 过 程 中 ,我 们 将 安全 等 级 分 为 三 等 级 ,其 中 C 为 最 低 ,A 为 最 高 。 


表 2-5 系统 安全 域 划分 





















安全 访问 对 象 
序号 安全 区 域 
级 别 可 访问 的 对 象 获准 访问 该 安全 域 的 对 象 
非 技术 类 外 来 人 员 安 | 、 | 服务 器 安全 域 加 
1 了 C 网 管 
全 域 防毒 .软件 及 网 管 工作 域 
2 | 服务 器 安全 域 B | 不 能 访问 任何 对 象 所 有 对 象 
3 | 防毒 .软件 及 网 管 工作 域 | B | 不 能 访问 任何 对 象 所 有 对 象 
a | 机 服务 器 安全 城 网 管 
i 防 琳 .软件 及 网 管 工作 城 | 部门 间 彼此 不 能 访问 ) 


将 以 上 的 安全 域 在 交换 机 上 通过 VLAN 划分 来 实现 ,而 且 从 业务 的 实际 情况 出 发 ， 
对 VLAN 间 的 通信 关系 进行 系统 分 析 , 配 置 VLAN 间 路 由 和 访问 控制 列表 , 既 保证 
VLAN 间 的 通信 ,又 保护 各 VLAN 之 间 的 安全 。 

公司 涉 密 计算 机 信息 系统 实施 效果 示意 图 如 图 2-6 所 示 , 图 中 的 涉 密 单机 上 有 防 病 
毒 客户 端 和 审计 客户 端 。 
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图 2-6 涉 密 计 算 机 信息 系统 实施 效果 示意 图 


可 以 看 到 ,该 公司 将 普通 办 公 计 算 机 系统 和 涉 密 人 员 使 用 的 计算 机 系统 分 为 了 独立 
的 安全 域 。 图 2-6 为 涉 密 计算 机 信息 系统 的 实施 效果 图 ,图 中 各 部 门 的 涉 密 单机 都 连 到 
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了 相应 的 部 门 交 换 机 上 ,设计 所 交换 机 、 财 务 审计 部 交换 机 和 技术 管理 部 交换 机 再 连接 到 
核心 交换 机 上 。 在 服务 器 区 有 端口 接 人 管理 服务 器 、 病 毒 服务 器 .邮件 服务 器 和 应 用 服 
务 器 。 

可 以 根据 安全 需求 ,参考 效果 图 ,给 出 系统 的 安全 目标 。 根 据 上 面 得 到 的 安全 需求 分 
析 制 定 内 网 构建 ,防火 墙 、 服 务 器 系统 、 备 份 系统 、 管 理 系 统 、 检 测 与 响应 系统 (如 果 需 要 ) 
的 安全 目标 ,提交 一 份 安全 目标 报告 。 

经 过 安全 需求 分 析 , 制 定 整个 公司 的 安全 目标 。 下 面 以 该 公司 为 例 , 说 明 网 络 和 系统 
经 过 分 析 后 得 到 的 基本 安全 目标 (安全 技术 方面 ) 情 况 。 该 单位 的 安全 目标 如 下 : 

(1) 利用 防火 墙 实现 内 外 网 或 不 信任 域 之 间 的 隔离 与 访问 控制 并 作 日 志 ; 

(2) 通过 防火 墙 的 一 次 性 口令 认证 机 制 ,实现 远程 用 户 对 内 部 网 访问 的 细 粒 度 访问 
控制 ; 

(3) 通过 入 侵 检测 系统 全 面 监视 进出 网 络 的 所 有 访问 行为 ,及 时 发 现 和 拒绝 不 安全 
的 操作 和 黑客 攻击 行为 ,并 对 攻击 行为 作 日 志 ; 

(4) 通过 网 络 及 系统 的 安全 扫描 系统 检测 网 络 安全 漏洞 ,减少 可 能 被 黑客 利用 的 不 
安全 因素 ; 

(5) 利用 全 网 的 防 病毒 系统 软件 ,保证 网 络 和 主机 不 被 病毒 的 侵害 ; 

(6) 备份 与 灾难 恢复 ,强化 系统 备份 ,实现 系统 快速 恢复 。 

通过 安全 服务 提高 整个 网 络 系统 的 安全 性 。 




















2.3 ISSE 与 其 他 过 程 的 联系 


2.3.1 引言 


ISSE 突出 了 以 时 间 维 为 线索 描述 信息 安全 工程 的 思路 ,这 本 身 也 是 由 “工程 "的 概念 
决定 的 ,因为 工程 本 身 也 是 一 种 基于 时 间 维 的 过 程 。 

在 所 有 强调 信息 安全 过 程 方法 的 信息 安全 解决 方案 中 ,都 会 必 不 可 少 的 留 下 ISSE 
的 影子 。 但 确切 地 说 ,这 个 影子 不 是 为 ISSE 留 下 的 ,而 是 为 “工程 过 程 " 留 下 的 。 

介绍 几 种 通常 使 用 的 安全 解决 方案 一 一 它们 同时 也 是 独立 的 信息 安全 工程 过 程 ,并 
将 它们 与 ISSE 过 程 进 行 比较 。 信 息 安全 工程 过 程 包括 : 系统 采 办 、 风 险 管理 ,生命 周期 
支持 ,认证 与 认可 (特别 是 美国 国防 部 信息 技术 安全 认证 与 认可 过 程 DITSCAP 和 通用 准 
则 CC)。 本 节 将 说 明 每 一 个 安全 工程 过 程 与 ISSE 过 程 的 具体 行为 之 间 的 联系 。ISSE 
过 程 的 基本 行为 包括 : 发 掘 任务 需求 ,定义 系统 功能 特征 ,设计 能 够 提供 清晰 功能 的 系 
统 , 以 及 实现 与 系统 设计 相 一 致 的 系统 ,并 最 终 评估 系统 。 本 节 中 的 所 有 过 程 均 包 含 相 似 
的 行为 。 为 了 满足 一 些 特定 的 开发 需求 .还 可 以 对 它们 进行 一 些 修 改 。 这 些 信息 安全 工 
程 过 程 与 ISSE 的 共同 点 是 : 开发 者 能 够 同时 完成 一 些 信 息 保 护 过 程 和 生命 周期 所 要 求 
的 开发 行为 。 这 样 就 可 以 减少 系统 的 重复 开发 ,并 且 还 可 以 大 大 缩减 安全 地 开发 某 个 系 
统 或 产品 并 对 其 进行 成 果 转 化 所 需 的 时 间 。 以 下 分 别 将 ISSE 过 程 依次 与 系统 采 办 过 
程 \. 风 险 管理 过 程 .生命 周期 支持 过 程 . 认 证 与 认可 过 程 ( 特 别 是 DITSCAP) 和 CC 进行 了 
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比较 。 
2.3.2 系统 采 办 过 程 


常常 有 人 领会 不 到 系统 采 办 中 的 工程 学 思想 ,这 来 源 于 对 两 个 英文 词汇 的 理解 : 
procurement 和 acquisition。 这 两 个 词 均 有 采购 的 意思 ,很 多 时 候 甚至 通用 。 但 随 着 美国 
军 方 对 系统 (不 只 是 信息 系统 ) 建 设 过 程 中 工程 方法 的 关注 ,acquisition 逐渐 加 强 了 “ 采 
办 ”的 含义 ,并 最 终 发 展 成 为 一 种 系统 工程 方法 。 它 突出 的 是 为 了 获得 一 个 可 以 使 用 的 产 
品 或 系统 而 应 经 历 的 过 程 ;而 procurement 则 一 直 保 留 了 “采购 ”的 含义 , 凡 后 者 出 现 之 
处 , 均 指 一 般 意 义 上 的 购买 行为 。 

采 办 过 程 的 重要 性 在 于 , 它 在 所 有 的 系统 工程 方法 中 都 是 一 个 基本 过 程 。 绝 大 多 数 
情况 下 ,系统 采 办 过 程 出 现在 系统 工程 和 ISSE 过 程 中 。 它 包括 需求 识别 阶段 .概念 发 掘 
阶段 .工程 化 与 实施 阶段 和 生产 与 运行 支持 阶段 。 图 2-7 显示 了 采 办 工程 与 ISSE 的 对 照 
关系 。 








系统 采 办 
需求 识别 概念 发 掘 工程 化 与 实施 生产 与 运行 














# 用 户 项 目 需求 | # 确 定 新 概念 。 |# 解 释 为 系统 设计 | # 建 造 生产 系统 
# 系 统 需 求 # 测 试 概念 # 规 定 系统 组 件 “| # 形 式 化 测试 
# 安 全 需要 # 形 式 化 安全 概 |# 购 买 系统 组 件 | # 生 命 周期 支持 
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图 2-7 采 办 工程 与 ISSE 的 对 照 关 系 


在 这 里 ,ISSE 将 要 了 解 任务 需求 .任务 环境 、 政 策 限制 和 系统 的 信息 保护 需求 。 然 后 
必须 在 获得 某 个 信息 保护 子 系统 的 上 述 信息 和 确定 的 时 间 、 成 本 、 技 术 与 风险 评估 的 情况 
下 判断 能 够 满足 上 述 要 求 的 信息 保护 子 系统 是 否 可 行 。 

在 行动 之 前 ,管理 层 ( 例 如 指定 的 批准 官员 ) 必 须 在 风险 的 基础 上 做 出 决策 ,使 得 在 系 
统 采 办 和 工程 管理 中 信息 保护 系统 的 构想 具有 可 行 性 。 无 论 该 决策 是 否 得 以 执行 ,都 必 
须 将 其 整理 成 文档 ,以 此 保证 在 环境 发 生变 化 的 情况 下 能 对 一 个 具有 充分 理由 的 决策 进 
行 再 审议 ,避免 从 头 做 起 。 
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在 采 办 的 需求 识别 阶段 (和 系统 工程 与 ISSE 的 发 掘 (信息 保护 ) 系 统 需求 的 行为 相 
平行 ), 采 办 行为 包括 对 项 目 要 求 的 评审 以 及 从 用 户 的 角度 来 定义 系统 信息 保护 的 需求 。 
在 这 个 阶段 中 ,对 新 技术 的 开发 将 得 到 研究 ,系统 运行 时 潜在 的 威胁 将 得 到 确定 ,同时 还 
要 研究 可 供 选 择 的 解决 方案 。 另外 还 要 进行 成 本 研究 .风险 估计 ,技术 可 行 性 的 确定 和 生 
命 周期 成 本 的 估计 。 最 后 ,将 做 出 实施 下 一 阶段 行为 的 决定 ,同时 会 要 求 对 继续 进行 的 开 
发 过 程 提供 资金 。 

在 采 办 的 概念 发 气 阶 段 ( 和 系统 工程 与 ISSE 中 的 定义 (信息 保护 ) 系统 行为 一 样 ) 中 
将 会 发 生发 气 新 概念 和 巩固 系统 定义 的 行为 。 该 阶段 将 会 选择 一 个 或 多 个 有 希望 的 备 先 
方案 对 构想 ,观念 进行 测试 ,以 确定 功能 特征 性 能 特征 和 信息 保护 的 特征 ,并 开发 出 系统 
工程 计划 和 生命 周期 支持 计划 。 为 了 满足 系统 所 有 者 要 求 的 细则 设计 要 求 与 相同 级 别 的 
规范 中 体现 出 形式 化 的 信息 保护 概念 ,将 实施 仿真 , 建 模 和 测试 ,以 对 设计 概念 加 以 证 明 ， 
本 阶段 所 定义 的 系统 级 规范 与 形式 化 的 信息 保护 概念 将 被 用 于 设计 整个 系统 。 

在 工程 化 与 实施 阶段 (和 系统 工程 (还 有 ISSE) 中 的 设计 (信息 保护 ) 系 统 行为 一 样 )， 
采 办 行为 将 集中 确保 此 前 三 维 开发 和 原型 能 够 被 转化 为 一 个 稳定 的 .可 生产 的 和 性 能 代 
价 比 合理 的 系统 设计 。 此 阶段 将 完成 设计 工作 ,发 布 正式 的 规范 ,并 构造 或 完成 指定 的 组 
件 。 为 了 支持 采 办 的 工作 ,还 将 确认 各 系统 组 件 ,并 将 功能 特性 整理 成 文档 。 

在 生产 与 运行 支持 阶段 (和 系统 工程 (还 有 ISSE) 中 的 实施 (信息 保护 ) 系 统 行为 一 
样 ) , 采 办 行为 包括 集成 系统 组 件 和 把 系统 交付 给 系统 所 有 者 。 为 了 展示 系统 要 求 是 否 已 
被 满足 ,必须 进行 形式 化 的 测试 。 在 系统 的 生命 周期 内 ,必须 提供 对 系统 的 持续 支持 , 同 
时 对 客户 进行 训练 和 支持 。 此 外 还 要 提出 备份 部 分 列表 ,连同 补丁 或 工程 变化 建议 一 起 
进行 维护 ,以 便 修正 系统 设计 缺陷 。 

图 2-7 没有 显示 两 种 特殊 情况 。 通 常 ,系统 采 办 过 程 优先 于 ISSE 过 程 。 当 在 任务 信 
息 保护 需求 还 没有 定义 之 前 就 定义 了 系统 的 体系 结构 并 选 好 了 组 件 时 ,如 果 期 望 信息 保 
护 需 求 得 到 满足 ,系统 采 办 过 程 将 不 得 不 倒转 并 返回 到 需求 识别 阶段 。 这 时 ,为 了 满足 
“新 ”的 信息 保护 需求 ,ISSE 和 系统 工程 师 必须 满足 更 多 的 限制 条 件 。 也 就 是 说 ,无 论 如 
何必 须 满 足 预定 且 已 经 不 会 改变 的 系统 各 部 分 所 强加 的 设计 限制 。 这 对 于 建立 一 个 次 优 
化 系统 而 言 代价 将 非常 昂贵 。 

图 2-7 未 明确 显示 的 另 一 种 特殊 情况 是 系统 升级 。 在 这 种 情况 下 ,系统 已 经 在 运行 。 
对 系统 新 的 需求 将 来 自 于 所 发 现 的 性 能 缺陷 或 新 的 任务 声明 。 因 为 新 的 系统 组 件 必须 与 
整个 系统 交互 作用 ,并 且 不 能 使 整个 系统 的 运行 状况 退化 ,所 以 还 会 有 接口 要 求 。 系 统 逢 
级 应 该 经 历 ISSE 和 系统 采 办 过 程 ,在 开始 就 定义 功能 和 性 能 要 求 ,并 特别 注意 新 增 的 接 
口 要 求 。 由 于 升级 的 广泛 性 , 它 几 乎 可 以 被 认为 是 与 一 些 从 旧 系 统 中 预先 选择 出 来 的 部 
分 组 件 一 起 进行 的 一 项 新 的 开发 。 

此 外 ,还 可 以 认识 到 ,普通 过 程 元 素 确实 存在 于 系统 采 办 过 程 和 ISSE 过 程 中 。 过 程 
的 相似 性 表明 ,我 们 只 需 对 采 办 过 程 进行 非常 少 的 改动 ,就 可 以 把 信息 保护 设计 概念 与 系 
统 设计 过 程 结合 起 来 。 
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2.3.3 风险 管理 过 程 


在 整个 系统 开发 和 采 办 过 程 中 ,风险 管理 可 运用 于 最 初 的 系统 开发 及 现 有 的 系统 上 。 
在 最 初 的 系统 采 办 过 程 时 期 ,风险 管理 行为 通常 和 ISSE 过 程 的 行为 一 样 。 一 旦 系统 落 
实 后 ,风险 管理 过 程 就 要 能 够 随 着 系统 设计 和 配置 的 改变 ,操作 环境 的 改变 和 所 支持 的 任 
务 的 改变 (这 些 元 素 都 将 对 风险 造成 影响 ) 而 进行 相应 的 调整 和 反应 。 在 整个 开发 . 采 办 
和 系统 实施 中 , 当 参 数 随时 间 而 变化 时 ,有 必要 对 当前 及 计划 的 环境 下 进行 操作 而 导致 的 
风险 进行 定期 的 再 评估 ,并 且 判 断 保护 方案 (技术 ,流程 人员) 的 变化 是 否 合理 。 针 对 这 
些 变 化 和 最 终 的 执行 所 做 的 决策 是 整个 过 程 的 焦点 。 

风险 管理 在 性 质 上 是 循环 的 , 它 始 于 对 任务 和 信息 保护 的 目标 与 需求 的 理解 ,然后 将 
对 当前 的 任务 风险 情况 进行 特征 化 并 描述 任务 成 功 完成 过 程 中 可 能 碰 到 的 阻碍 。 任 务 的 
成 功 完 成 需要 开发 ,设计 、 集 成 与 配置 一 个 具有 某 些 技术 (运行 保护 和 信息 保护 ) 、 成 本 、 规 
划 ( 开 发 时 间 ) 特 点 和 预期 有 效 寿命 的 信息 保护 系统 。 在 理解 了 任务 (还 有 信息 保护 需求 ) 
之 后 ,下 一 步 就 是 对 风险 的 标识 .刻画 并 区 分 优先 级 。 现 在 ,ISSE 所 起 的 作用 就 是 推荐 一 
些 管理 对 策 选项 来 减轻 风险 ,这 也 将 帮助 最 终 决 策 者 判断 哪些 风险 能 够 一 一 而 且 应 
该 一 一 被 减轻 。 对 于 一 个 给 定 的 用 户 系统 ,通常 来 说 ,要 想 在 执行 一 系列 技术 与 非 技术 得 
到 对 策 后 就 能 完全 满足 用 户 所 在 机 构 的 信息 保护 策略 并 减轻 所 有 风险 ,这 是 不 可 能 的 。 
任务 本 身 要 求 的 操作 能 力 和 功能 可 能 正好 与 风险 最 小 化 的 原则 相 矛 盾 。 因 此 ,风险 管理 
方法 就 应 该 应 用 于 决定 是 否 推出 一 个 特定 的 信息 保护 系统 的 情况 下 。 在 这 样 的 战略 中 ， 
第 一 步 就 是 详细 评估 给 定 系 统 的 信息 保护 风险 。 系 统 的 残余 风险 则 基于 对 手 将 成 功 发 动 
一 个 对 运行 任务 有 巨大 影响 的 特定 攻击 的 可 能 性 上 。 

为 了 使 后 续 的 决策 合理 化 .ISSE 将 经 历 下 面 的 循环 过 程 ( 见 图 2-8) 来 构造 整个 框架 : 
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图 2-8 ”ISSE 经 历 的 循环 过 程 


Ne/ 信息 安全 工程 


。 理解 任务 目标 ; 
理解 信息 保护 需求 ; 
描述 风险 状况 ; 

。 描述 可 以 做 什么 ; 
决定 将 要 做 什么 ; 

。 执行 决策 。 

1. 理解 任务 与 信息 保护 目标 

风险 管理 过 程 是 随 着 对 用 户 任务 目标 和 任务 信息 保护 需求 的 确定 一 起 进行 的 。 它 们 
是 由 系统 工程 师 根据 对 机 构 任务 的 确定 对 任务 关键 程度 的 确定 ` 对 用 户 人 数 的 确定 、 对 
操作 环境 的 确定 和 对 用 户 现在 的 信息 保护 情况 的 确定 来 完成 的 。 这 就 需要 对 相应 的 政 
策 .法规 .可 应 用 的 操作 指南 和 标准 进行 查询 。 

对 用 户 操作 流程 和 现 有 系统 体系 结构 的 查阅 只 是 为 了 正确 评价 信息 价值 和 信息 保护 
需求 而 付出 的 各 项 努力 的 一 部 分 。 在 风险 管理 过 程 的 这 一 步骤 中 ,所 产生 的 信息 将 使 
ISSE 能 够 判断 系统 实施 时 可 能 会 引入 的 潜在 的 风险 以 及 所 需 的 保护 级 别 。 

2. 描述 风险 状况 

在 该 阶段 的 行为 中 ,ISSE 将 着 重 了 解 因 系 统 操 作 、 设 计 和 恶劣 运行 环境 而 正在 发 生 
或 将 要 发 生 的 风险 。 描 述 风 险 状 况 的 行为 包括 风险 、 脆 弱 性 /攻击 、 威 胁 以 及 任务 影响 的 
分 析 。 这 些 分 析 结 果 在 综合 之 后 将 使 决策 者 对 相应 的 应 急 操作 或 预算 问题 做 出 分 析 。 

风险 分 析 是 收集 并 分 析 与 风险 相关 的 数据 的 风险 管理 活动 的 一 部 分 ,其 目的 是 为 决 
策 者 提供 有 关 在 不 友好 的 环境 中 能 够 完成 指定 任务 的 备 选 行动 的 优点 与 代价 信息 。 这 些 
决策 非常 难以 做 出 ,要 求 ISSE 使 用 有 效 分 析 手 段 进行 处 理 。 图 2-9 是 一 个 基本 的 有 助 于 
判断 各 种 备 选 行动 的 优点 与 代价 的 综合 方法 一 一 风险 决策 流 。 


系统 改进 对 策 标识 任务 关键 
与 特征 描述 - 性 参数 权衡 


风险 分 析 
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基础 研究 与 事件 分 析 
图 2-9 风险 决策 流 
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在 实验 风险 分 析 时 ,必须 考虑 下 列 因素 。 

1) 威胁 

威胁 的 种 类 可 被 清晰 地 分 为 3 类 : 来 自 人 们 敌意 的 威胁 , 非 敌 意 的 威胁 和 自然 的 
威胁 。 

敌意 的 威胁 : 每 一 种 敌意 的 态度 都 是 有 其 独特 性 的 ,所 以 必须 得 到 详细 的 说 明和 分 
析 。 这 种 敌意 依赖 具体 环境 而 改变 。 例 如 ,在 国 与 国之 间 , 今 天 的 对 手 有 可 能 就 是 明天 的 
同盟 者 ,反之 亦 然 。 潜 在 的 威胁 有 可 能 来 自如 下 出 处 : 

。 忍 怖 分 子 ; 

。 心里 不 平衡 的 人 们 ; 

。 单独 的 犯罪 分 子 ; 
有 组 织 的 犯罪 分 子 ; 
。 与 外 地 勾结 的 内 部 人 员 ; 
对 本 机 构 不 满意 、 心 里 不 平衡 的 内 部 人 员 以 及 潜伏 在 机 构 内 部 的 间谍 或 犯罪 
分 陡 。 

非 敌 意 的 威胁 : 这 种 类 型 的 威胁 没有 恶意 的 目标 ` 动 机 和 企图 。 但 无 论 如 何 ,它们 确 
实 有 在 一 定 程度 上 造成 危害 后 果 ( 有 时 甚至 超越 了 敌意 威胁 带 来 的 危害 ) 的 能 力 。 执 行 某 
些 文档 化 的 信息 保护 策略 将 大 大 减 小 由 这 种 威胁 带 来 的 风险 。 潜 在 的 非 敌 意 威胁 有 可 能 
来 自如 下 出 处 : 

。 系统 使 用 者 ; 

。 维护 人 员 。 

自然 威胁 : 根据 一 些 历 史记 录 数 据 能 够 预测 可 能 在 某 个 地 理 位 置 发 生 这 类 威胁 ,可 
以 大 致 把 握 这 些 威 胁 发 生 的 频率 和 强度 。 而 对 于 前 面 所 谈 的 非 敌 意 威胁 , 则 无 法 准确 知 
道 它 什么 时 候 会 出 现 。 自 然 威胁 主要 有 

。 地 震 ; 

。 火山 爆发 ; 

。 属 风 ; 

。 台风; 

。 洪水 ; 

全 闪电 ; 

。 冰 看 。 

2) 代价 

对 于 每 一 次 威胁 所 发 起 的 攻击 ,攻击 者 必须 支付 的 相应 代价 。 这 些 代价 的 多 少 视 被 
攻击 的 系统 的 保护 级 别 和 攻击 级 别 、 攻 击 的 复杂 性 而 定 。 从 代价 的 角度 来 说 ,攻击 可 分 为 
以 下 几 类 。 

。 硬件 : 代价 可 根据 用 于 分 析 所 必 备 的 仪器 代价 来 计算 。 

。 软件 /攻击 工具 : 这 些 代价 与 攻击 者 用 来 发 起 攻击 的 一 整套 应 用 软件 的 装配 和 使 

用 有 关 。 这 些 工具 的 复杂 性 、 价 格 各 不 相同 ,有 时 可 以 在 Internet 上 直接 得 到 。 
。 信号 分 析 : 这 些 代价 视 用 于 绕 过 安全 规则 的 设备 而 定 , 在 使 用 这 类 设备 的 攻击 
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中 ,攻击 者 将 通过 使 用 口令 捕获 法 及 其 他 方法 来 绕 过 信息 保护 策略 的 强制 例 程 。 
。 专门 技术 : 每 一 种 攻击 都 需要 具有 水 准 的 人 们 去 开发 所 需 的 方案 与 工具 。 那 么 
这 个 代价 就 会 由 所 需 技 术 的 复杂 性 和 组 织 性 来 决定 。 
。 访问 : 每 一 种 攻击 都 需要 在 一 定 程度 上 实施 访问 。 那 么 这 个 代价 就 会 视 攻击 是 
知情 的 内 部 者 还 是 由 不 知情 的 外 部 人 员 所 发 起 的 不 同情 况 而 有 不 同 的 层次 。 
3) 对 策 
ISSE 必须 定义 出 哪些 对 策 可 以 用 来 清除 或 缓解 一 个 或 多 个 成 功 攻击 的 风险 。 遗 憾 
的 是 ,现实 中 常常 会 出 现 缺 乏 相 应 信息 的 情况 。 应 该 更 有 效 地 获得 有 关 最 能 危害 机 构 任 
务 的 脆弱 性 和 攻击 的 信息 源 。 决 策 者 最 终 将 决定 可 以 承受 的 风险 级 别 ,因此 ISSE 必须 
向 其 提供 尽 可 能 详细 的 信息 。 
4) 预测 攻击 发 生 的 可 能 性 
ISSE 必须 判断 一 次 攻击 发 生 的 可 能 性 , 即 对 手 的 动机 和 成 功利 用 系统 脆弱 性 的 可 
能 性 。 
5) 灾难 恢复 
对 于 每 一 次 攻击 来 说 ,ISSE 必须 判断 系统 从 被 攻击 后 的 状态 中 恢复 过 来 的 可 能 性 和 
用 于 矫正 影响 的 时 间 ( 从 攻击 被 检测 到 开始 ) 。 
6) 判断 对 任务 的 后 续 影 响 
用 户 机 构 应 与 脆弱 性 搜寻 小 组 一 起 工作 ,从 攻击 造成 的 后 果 中 推导 出 机 构 在 将 来 的 
信息 保护 任务 ;同时 ,攻击 后 的 恢复 也 应 考虑 在 内 。 对 每 次 攻击 ,都 要 确定 出 后 果 影 响 的 
相对 (由 高 到 低 ) 级 别 。 
对 每 种 攻击 ,ISSE 都 将 生成 一 个 风险 平面 或 用 其 他 分 析 工 具 来 显示 其 发 生 的 可 能 性 
及 其 所 造成 的 后 果 。 风 险 平面 是 后 面 描述 的 认证 过 程 的 输入 。 如 图 2-10 所 示 的 是 一 个 
典型 的 风险 平面 。 





六 攻击 成 功 的 可 能 


图 2-10 一 个 典型 的 风险 平面 


3. 描述 可 行 的 风险 对 策 

在 完成 风险 分 析 之 后 ,ISSE 将 运用 综合 信息 来 为 决策 者 提供 具体 行动 路 线 。 为 此 ， 
ISSE 需要 比较 和 对 照 所 有 备 选 的 行动 路 线 。 这 种 分 析 将 深入 观察 各 类 相应 的 安全 对 策 
是 如 何 改善 或 减缓 当前 的 风险 状况 以 及 系统 的 任务 功能 的 。 为 了 描述 可 行 的 风险 对 策 ， 
ISSE 需要 致力 于 开发 可 能 的 成 套 行动 路 线 并 知晓 它们 的 相应 成 本 及 收益 。 这 些 行动 路 
线 的 选项 中 将 包括 很 多 不 同 的 、 可 能 的 解决 方案 ,包括 了 “不 变更 “关闭 ”等 选项 ,还 结合 
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了 对 系统 各 类 技术 的 、 流 程 的 以 及 人 员 上 的 一 些 改变 ,以 前 弱 潜 在 的 攻击 ,降低 成 功 攻击 
造成 的 冲击 ,防止 攻击 对 机 构 的 运行 能 力 或 信息 保护 中 的 风险 平衡 造成 影响 。ISSE 还 将 
进行 成 本 一 获 利 分 析 ,以 清楚 地 描述 出 在 给 定 对 策 成 本 的 情况 下 可 以 提供 的 保护 级 别 。 

4. 决定 风险 对 策 

基于 风险 分 析 ,决策 者 将 决定 需要 对 付 哪 些 威胁 和 脆弱 性 。 做 出 该 决策 的 基础 是 威 
胁 /脆弱 性 风险 、 风 险 对 策 成 本 和 任务 的 功能 性 ,以 及 风险 对 策 对 于 减轻 整个 风险 的 有 效 
性 。ISSE 将 记录 残余 风险 的 情况 ,这 是 完全 无 法 对 抗 或 尚未 根除 的 风险 。 

5. 执行 策略 

一 个 信息 保护 系统 只 有 在 该 系统 是 运行 在 本 地 的 DAA 可 接受 的 风险 级 别 时 才 算 完 
成 。 它 是 由 以 下 两 步行 动 来 实现 的 : 

。 验证 ; 

。 确认 。 

验证 是 一 个 确保 系统 能 够 满足 已 经 声明 并 记录 下 需求 的 过 程 。 简 而 言 之 ， 验 证” 回 
答 了 这 样 的 问题 ,“ 你 是 按照 正确 的 方法 创建 系统 的 吗 ?”“* 确 认 ” 则 是 再 一 次 检验 系统 是 
和 否 达到 所 规定 的 目标 ,系统 是 否 能 全 面 实施 。 简 而 言 之 “确认 ”回答 了 这 样 的 问题 :“ 你 
创建 的 是 正确 的 系统 吗 ?” 

进行 确认 分 析 的 目的 是 确认 系统 的 能 力 能 够 满足 信息 保护 需求 并 使 残余 风险 最 小 
化 。 信 息 保 护 验 证 测试 包括 关于 密码 的 验证 测试 和 功能 性 的 信息 保护 测试 。 它 用 来 保证 
所 有 信息 保护 功能 均 已 按照 规范 得 到 了 正确 的 实施 。 信 息 保护 测试 还 要 查找 那些 未 规定 
但 却 实施 了 的 功能 (它们 有 可 能 颠覆 信息 保护 的 关键 操作 ) 以 及 任何 由 信息 保护 机 制 的 不 
正确 实施 而 导致 的 脆弱 性 。 

为 了 完成 风险 管理 的 循环 .ISSE 必须 评估 决策 所 造成 的 后 果 。ISSE 不 仅 需要 重新 
评估 自己 的 各 项 决策 ,还 需要 评估 做 出 决策 的 周遭 环境 。 一 旦 发 现 了 能 够 导致 攻击 /防范 
平衡 改变 的 新 的 威胁 脆弱 性 或 技术 ,ISSE 就 必须 重新 评估 其 风险 。 如 果 是 政治 因素 改 
变 了 攻击 的 可 能 性 或 攻击 者 的 动机 ,也 必须 重新 检查 风险 。 任 务 需求 的 改变 也 可 能 会 迫 
使 任务 特性 /信息 保护 机 制 的 风险 平衡 发 生 改变 。 风 险 管理 是 一 个 持续 过 程 , 它 为 各 系统 
工程 和 ISSE 行动 提供 了 输入 并 影响 着 系统 生命 周期 的 各 个 环节 。 

6. 风险 管理 的 独立 性 

这 里 我 们 重 在 考察 风险 管理 与 ISSE 的 结合 。 但 作为 一 项 独立 的 信息 安全 解决 方 
案 , 风 险 管理 有 其 自己 完善 的 方法 学 。 风 险 管理 思想 也 是 系统 安全 工程 能 力 成 熟 度 模型 
(System Security Capability Maturity,SSE-CMM) 的 核心 内 容 。 然 而 ,SSE-CMM 并 没有 
将 风险 管理 与 其 并 列 ,而 是 在 其 中 的 若干 个 过 程 之 中 引入 了 风险 管理 的 主要 过 程 ,这 显然 
是 一 种 思路 上 的 巨大 转变 。 这 种 差异 也 反映 出 信息 安全 界 各 类 信息 安全 方法 对 统一 和 合 
并 的 迫切 需要 。 


2.3.4 生命 周期 支持 过 程 


系统 生命 周期 通常 由 以 下 阶段 组 成 : 概念 与 需求 定义 .系统 功能 设计 、 系 统 开发 与 采 
办 、 系 统 实施 与 测试 .系统 的 持久 操作 支持 和 最 终 的 系统 废 置 处 理 。 近 年 来 ,实现 系统 生 
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命 周期 支持 的 途径 已 经 转变 ,以 适应 将 安全 组 件 和 安全 过 程 综合 到 系统 工程 过 程 中 的 需 
要 。 因 此 ,ISSE 方法 是 作为 一 个 信息 安全 生命 周期 过 程 而 得 以 开发 的 。 
对 于 任何 功能 或 系统 级 需求 来 说 ,安全 应 该 在 生命 周期 过 程 的 早期 便 提出 ,包括 理解 
安全 需求 ,参与 安全 产品 评估 并 最 终 实现 系统 的 工程 化 设计 及 实施 。 从 近年 来 的 教训 中 
发 现 , 在 系统 开发 之 后 再 来 改进 安全 解决 方案 将 非常 困难 ,因此 ,必须 在 发 据 需 求 和 定义 
系统 时 便 考虑 安全 需求 。 为 了 在 系统 工程 过 程 中 有 效 地 集成 安全 措施 与 控制 ,设计 者 与 
开发 者 应 该 调整 现 有 的 过 程 模型 ,以 生产 一 个 反复 式 的 系统 开发 生命 周期 ,该 周期 关注 更 
多 的 是 安全 控制 与 保护 机 制 。 这 种 理念 的 一 个 成 功 范例 是 DITSCAP。 

尽管 DITSCAP 被 称 为 是 一 个 认证 与 认可 过 程 ,但 它 主 要 还 是 基于 ISSE 的 概念 与 生 
命 周期 管理 原则 。DITSCAP 的 各 阶段 可 以 与 上 述 的 ISSE 基本 行为 相对 应 。 在 
DITSCAP 中 ,系统 安全 授权 协定 (SSAA) 常 用 于 记录 全 部 IT 系统 生命 周期 中 使 用 的 所 
有 安全 准则 。 大 部 分 的 系统 生命 周期 分 析 发 生 在 DITSCAP 的 第 二 个 阶段 。 在 该 阶段 
中 ,生命 周期 计划 得 到 开发 和 评估 ,其 中 的 生命 周期 支持 行为 包括 : 
创建 生命 周期 管理 计划 ; 
创建 系统 工程 管理 计划 ; 
创建 配置 控制 过 程 ; 
创建 安全 计划 ; 
创建 维护 计划 ; 
创建 应 急 和 连续 性 操作 计划 ; 
创建 系统 处 置 计划 。 

无 论 使 用 DITSCAP、 系 统 工程 过 程 或 系统 生命 周期 过 程 ,都 可 以 看 出 这 些 过 程 中 存 
在 着 共同 过 程 。 因 为 有 这 种 交叉 的 过 程 共同 性 ,就 有 可 能 确保 安全 组 件 以 成 本 最 小 且 对 
系统 规划 或 功能 影响 最 小 的 方式 融入 全 部 系统 的 开发 行动 中 。 

一 致 性 验证 过 程 侧重 于 对 系统 的 周期 性 重 认可 活动 进行 管理 ,以 及 对 各 类 在 已 部 署 
的 系统 中 负责 响应 各 级 风险 的 方法 的 使 用 进行 管理 。 可 以 利用 传统 的 检查 方法 ,但 是 ,以 
“现行 (living) 文 档 ” 和 原 系统 检查 为 基础 的 方法 是 可 提供 选择 的 很 重要 的 方法 。 此 外 ,如 
果 发 现 一 个 系统 在 变动 不 大 时 出 现 的 更 多 的 是 有 限 风 险 , 则 可 以 适当 简化 相应 的 检查 
过 程 。 

一 致 性 再 验证 的 最 后 步骤 是 检查 。 对 检查 方法 进行 裁剪 的 目的 是 开发 出 能 集中 于 系 
统 中 最 脆弱 区 域 的 检查 步骤 。 检 查 方法 和 详细 程度 可 依据 正式 化 的 风险 分 析 中 所 定义 的 
风险 类 别 和 特定 的 风险 域 所 裁剪 。 


2.3.5 认证 与 认可 


认证 与 认可 过 程 近年 来 (尤其 是 2000 年 以 来 ) 得 到 了 美国 的 密切 关注 ,政府 和 军 方 多 
次 发 布 国家 级 政策 对 此 进行 支持 。 其 中 的 部 分 原因 在 于 ,美国 国内 (世界 范围 亦 是 如 此 ) 
开始 对 敏感 系统 中 安全 产品 的 选用 以 及 系统 建成 之 后 的 安全 性 更 加 关注 。 因 此 ,产品 的 
安全 性 评估 (认证 过 程 ) 以 及 安全 产品 在 系统 中 的 应 用 评估 (认可 过 程 ) 便 受到 了 极 大 的 
重视 。 
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C&A(CCertificate & Authority) 被 定义 为 : 针对 自动 化 信息 系统 和 其 他 保护 措施 的 
技术 或 非 技术 安全 特征 而 进行 的 一 种 综合 评估 ,其 目的 是 确定 某 一 种 特定 设计 和 实施 能 
够 满足 已 指定 的 安全 需求 集 的 程度 ,并 由 指定 的 批准 官员 (Designated Approving 
Authority'DAA) 藉 此 正式 宣布 某 信息 系统 被 获准 可 在 某 一 可 接受 的 风险 级 别 上 运行 。 
CA 是 支持 认可 过 程 、 负 责 对 这 些 安全 特征 与 其 他 保护 措施 进行 评估 的 官员 (或 机 构 )。 
CA 将 确定 某 一 种 特定 设计 与 系统 实施 对 指定 安全 需求 的 满足 程度 。 最 初 的 认证 任务 
包括 : 

。 系统 体系 结构 分 析 ; 

。 网 络 连接 规则 一 致 性 分 析 ; 

。 集成 产品 的 完整 性 分 析 ; 

。 生命 周期 管理 分 析 ; 

。 脆弱 性 分 析 。 

一 个 正在 经 历 认证 与 认可 的 系统 应 该 有 用 于 支持 每 个 任务 的 正式 文档 、 安 全 规范 、 综 
合 性 的 测试 计划 和 一 个 确保 所 有 网 络 与 其 他 互联 要 求 均 被 实现 的 书面 说 明 。 可 以 对 特定 
的 认证 任务 进行 定制 ,以 适合 系统 的 项 目 战略 .生命 周期 管理 过 程 以 及 信息 在 其 信息 系 
统 、 在 其 生命 周期 中 的 位 置 。 也 可 定制 对 系统 开发 行为 的 认证 任务 ,以 确保 其 与 系统 过 程 
相关 联 , 并 确保 其 已 提供 了 必要 程度 的 分 析 来 保证 这 些 行为 与 书面 的 文档 (通常 是 以 系统 
安全 授权 协定 (System Security Authority Agreement,SSAA) 的 形式 ) 相 一 致 。 

脆弱 性 评估 将 对 与 保密 性 、 完 整 性 、 可 用 性 、 可 追究 性 和 所 推荐 的 对 策 相关 的 安全 漏 
洞 进行 评估 。 为 了 保护 相应 的 系统 价值 ,DAA 应 该 决定 可 承受 的 风险 级 别 。 脆 弱 性 评估 
主要 关注 实现 SSAA 安全 需求 的 过 程 。 评 估 结 论 被 用 于 判断 评估 者 信息 服务 (AIS) 是 否 
已 经 准备 好 进行 正式 的 C&A 评估 与 测试 。 最 终 的 认证 任务 包括 : 

。 安全 测试 与 评估 ; 

。 渗透 性 测试 ; 

。 电磁 环境 安全 防护 (TEMPEST) 与 Red-Black 检验 ; 

与 通信 安全 (COMSEC) 一 致 的 认证 ; 
系统 管理 分 析 ; 
站 点 认可 调查 ; 
应 急 计划 评估 ; 

。 基于 风险 的 管理 评审 。 

如 果 CA 断定 信息 系统 满足 了 SSAA 的 技术 要 求 , 便 会 发 布 一 个 系统 证 书 。 该 证 书 
说 明了 信息 系统 与 协定 好 的 安全 需求 保持 了 一 致 。CA 也 可 以 制定 补充 建议 ,以 提高 系 
统 的 安全 状况 。 对 于 将 来 的 系统 升级 与 改变 管理 决策 而 言 , 这 样 的 建议 还 应 该 提供 一 个 
输入 接口 。 

CA 的 建议 .DAA 的 操作 授权 、 支 持 文 档 和 SSAA 共同 形成 了 认可 包 。 支 持 文档 可 
根据 系统 类 型 不 同 而 不 同 。 这 些 文档 最 少 应 该 包括 安全 调查 结果 、 缺 陷 与 运行 风险 。 认 
可 包 必 须 包 括 用 于 支持 所 建议 的 决策 的 所 有 信息 。 如 果 这 些 决策 希望 得 到 认可 , 则 它 应 
该 包括 安全 参数 ,这 些 参数 决定 了 信息 系统 可 授权 操作 的 环境 。 如 果 系 统 不 满足 SSAA 
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所 陈述 的 要 求 , 但 任务 的 关键 程度 要 求 系统 必须 投入 运行 ,也 可 以 用 一 个 临时 许可 的 授权 
方式 来 完成 。 

最 后 的 认可 应 该 三 年 有 效 ,或 在 某 个 重大 改变 导致 一 次 新 认可 之 前 一 直 有 效 。 在 有 关 
人 员 通 过 认证 请 求 通告 提出 要 求 , 或 者 是 系统 需要 周期 性 重新 评估 或 系统 表现 出 有 安全 问 
题 时 , 均 会 进行 再 评估 。 评 估 必 须 保持 周期 性 ,当然 很 多 再 评估 可 能 要 基于 触发 性 事件 。 

DITSCAP 推动 了 美国 国防 部 (DoD) 的 认证 与 认可 过 程 。 在 DoD 中 建立 了 IT 系统 
的 标准 认证 与 认可 过 程 。 对 于 情报 系统 来 说 ,美国 的 中 央 情 报 局 长 令 (DCID)6/3 也 曾 推 
动 了 认证 与 认可 过 程 。 现 在 DITSCAP 正 逐 步 走 向 世界 ,引起 各 国 广大 研究 者 的 关注 。 
DITSCAP 的 目的 是 在 国防 部 建立 一 个 以 基础 设施 为 中 心 的 标准 方法 ,以 保护 和 加 强国 
防 信息 基础 设施 (DID 组 成 实体 的 安全 。DITSCAP 中 所 列 出 的 行为 集合 对 于 单个 IT 实 
体 的 认证 与 认可 过 程 实现 了 标准 化 ,并 可 引申 到 更 安全 的 系统 操作 与 更 安全 的 国防 信息 
基础 设施 (DITD) 中 。 在 评估 系统 操作 对 于 DII 的 影响 时 ,该 过 程 还 将 综合 考虑 系统 的 任 
务 、 环 境 , 体 系 结构 等 。 该 过 程 将 : 

。 实现 信息 保护 策略 ,落实 信息 保护 责任 ,并 描述 IT 系统 的 CA 过 程 ,包括 自动 化 

信息 系统 、 网 络 和 美国 国防 部 中 的 站 点 ; 

。 对 于 涉 密 /无 密级 的 IT 系统 ,创建 DITSCAP, 以 用 于 信息 保护 的 CA; 

。 强调 生命 周期 管理 方法 对 CA 和 国防 部 的 IT 进行 重 认可 的 重要 性 。 

DITSCAP 适用 于 所 有 在 整个 生命 周期 中 需要 CA 的 系统 ,对 于 任何 类 型 的 IT 系统 
以 及 任何 计算 环境 和 任务 来 说 , 它 均 可 适应 。 评 估 后 的 产品 可 以 使 用 新 的 安全 技术 或 方 
法 ,并 可 调整 为 可 行 的 标准 。DITSCAP 可 被 映射 到 任何 系统 生命 周期 过 程 中 ,但 仍然 可 
以 独立 于 生命 周期 战略 。DITSCAP 被 设计 成 能 适用 于 开发 .修改 和 运行 的 生命 周期 各 
阶段 。 每 个 新 的 CA 工作 均 从 阶段 1( 定 义 ) 开 始 , 结 束 于 阶段 4, 即 获得 认可 。 第 4 阶段 
后 便 确保 了 已 获得 的 信息 系统 或 系统 组 件 能 持续 运行 于 其 计算 环境 之 中 ,保持 了 与 所 获 
认可 的 一 致 。 

DITSCAP 可 划分 为 逻辑 上 的 阶段 序列 , 逐 阶 段 引 导 系 统 达到 最 终 认可 状态 。 图 2-11 
给 出 了 这 些 阶段 : 定义 、 验 证 ,确认 ,认可 后 。 

DITSCAP 的 阶段 1( 定 义 ) 包 括 了 书面 的 SSAA 一 一 在 项 目 管理 员 .DAA、CA 和 用 
户 代表 之 间 基 于 系统 任务 .目标 环境 .目标 体系 结构 和 安全 策略 的 描述 之 上 的 一 种 协定 。 
SSAA 描述 了 计划 的 制定 和 认证 行为 ,资源 以 及 要 用 于 支持 认证 与 认可 的 文档 。 

ISSE 过 程 的 流程 图 从 系统 安全 需求 出 发 .流向 了 已 定义 的 系统 结构 。ISSE 中 (定义 
信息 保护 系统 ) 和 DITSCAP 阶段 2 的 行为 (验证 ) 都 能 查看 系统 的 安全 功能 和 体系 结构 
是 否 满足 了 系统 对 于 信息 处 理 和 安全 功能 的 要 求 。 生 命 周 期 管理 行为 需要 大 量 用 于 指 
导 、 控 制 并 管理 系统 开发 .设计 ,操作 和 废 置 处 理 的 系统 工程 文档 。 这 些 行为 的 结果 可 能 
对 最 初 的 SSAA、 系 统 功能 和 系统 结构 造成 改变 。 在 此 阶段 ,系统 安全 工程 师 应 该 已 经 发 
来 了 测试 计划 和 过 程 ,这 些 测试 计划 与 过 程 应 涵盖 系统 功能 、 系 统 完整 性 与 安全 一 致 性 等 
内 容 。 系 统 安全 工程 师 还 应 该 评估 和 描述 所 提交 的 设计 中 的 残余 风险 的 级 别 。 

DITSCAP 阶段 3 的 行为 (确认 ) 将 把 系统 设计 变 成 现实 ,检验 系统 设计 是 否 正确 ,并 
且 确 认 系 统 是 否 能 够 满足 需求 。 这 是 一 个 得 到 严禁 检验 的 、 集 成 的 有 效 的 、 经 过 认证 与 
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图 2-11 DITSCAP 流程 


认可 的 系统 的 最 高 阶段 。 

认可 后 是 DITSCAP 阶段 4, 主要 处 理 遵 循 性 验证 (CV) 过 程 。 遵循 性 验证 检查 
(CVD 过 程 着 重 于 对 系统 周期 性 重 认可 的 管理 以 及 在 已 部 署 的 系统 中 加 入 能 对 风险 做 出 
的 各 类 方法 。 可 以 使 用 传统 的 检测 手段 ,但 是 ,以 “现行 文档 "和 DITSCAP 阶段 3 中 对 系 
统 的 检测 为 基础 的 方法 都 是 很 重要 的 可 选 方 法 。 此 外 ,如 果 发 现 一 个 系统 有 更 多 的 基于 
非 重 大 改变 的 有 限 的 风险 , 则 可 以 适当 简化 相应 的 检测 过 程 。 
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DITSCAP 项 目 目前 已 经 积累 了 大 量 的 研究 结果 和 文献 ,限于 篇 幅 , 本 书 不 再 袭 述 ， 
这 些 参 考 文献 详细 描述 了 遵循 性 验证 的 如 下 过 程 : 过 程 管理 .风险 管理 `.CM 评审 .CVI 
优先 级 排 定 和 检查 的 裁剪 。 这 些 过 程 的 目的 是 更 有 效 地 应 用 资源 ,特别 是 当 多 个 系统 需 
要 重 评估 或 有 迹象 表明 需要 CV 时 。 在 使 用 中 ,可 以 在 独立 系统 或 多 个 系统 中 使 用 这 些 
过 程 。 当 然 , 在 多 个 系统 中 使 用 将 更 为 有 效 。 


2.3.6 CC 与 ISSE 


通用 准则 CC 是 一 个 国际 标准 。 该 标准 是 国际 信息 安全 界 通 力 合作 的 成 果 。CC 定 
义 了 这 样 一 个 准则 :“…… 可 作为 评估 IT 产品 与 系统 安全 特性 的 基础 …… 这 个 标准 允许 
在 相互 独立 的 不 同安 全 评估 结果 之 间 进 行 比较 …… 这 是 通过 提供 一 套 通用 的 用 于 IT 产 
品 与 系统 的 安全 功能 要 求 集 , 以 及 在 安全 评估 中 适应 于 该 功能 集 的 安全 保证 措施 要 求 集 
来 实现 的 。 评 估 过 程 确定 了 IT 产品 与 系统 的 安全 功能 及 保证 满足 这 些 要 求 集 的 可 信 水 
平 .”"ISSE 可 以 利用 CC 作为 工具 来 支持 ISSE 的 行为 ,包括 为 信息 保护 系统 制定 系统 级 
的 规范 并 支持 认可 过 程 。 

图 2-12 显示 了 CC 是 如 何 应 用 的 ,用 CC 的 语法 建立 信息 安全 的 过 程 符合 ISSE 过 
程 。 发 掘 信息 保护 需求 的 行为 提供 了 各 种 信息 ,如 所 有 者 怎样 评价 资产 ,威胁 ,主体 是 什 
么 ,什么 是 威胁 ,什么 是 对 策 ( 信 息 保 护 的 要 求 与 功能 ) 及 什么 是 风险 (部 分 的 )。 定 义 信 息 
保护 系统 的 行为 提供 了 用 于 描述 如 下 事物 的 信息 : 什么 是 对 策 (已 命名 的 组 件 ) ,什么 是 
脆弱 性 (基于 体系 结构 ) ,什么 是 风险 (更 全 面 的 )。 设 计 信息 保护 系统 的 行为 提供 了 如 下 
信息 : 什么 是 对 策 (经 检验 的 信息 保护 产品 功能 ) ,什么 是 脆弱 性 (基于 设计 和 单元 以 及 检 
验 了 的 测试 结果 ) 和 什么 是 风险 (更 加 全 面 )。 实 现 信息 保护 系统 的 行为 最 后 提供 了 如 下 
信息 : 什么 是 对 策 ( 安 装 并 认证 了 的 信息 系统 保护 功能 ) ,什么 是 脆弱 性 (基于 认证 和 渗透 
性 测试 的 结果 ) ,什么 是 风险 (更 全 面 的 )。CC 并 不 描述 人 员 和 运行 安全 (但 这 些 安全 措 
拥有 
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希望 滥用 或 破坏 
图 2-12 CC 的 安全 概念 及 其 相互 关系 
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施 必须 在 安全 环境 中 讨论 ) ,也 不 描述 评估 的 有 效 性 或 其 他 使 系统 更 有 效 的 管理 措施 。 
CC 提供 了 一 种 标准 的 语言 与 语法 ,用 户 和 开发 者 可 以 用 它 来 声明 系统 的 通用 功能 (保护 
轮廓 或 称 PP) 或 将 被 评估 的 具体 性 能 (安全 目标 或 称 ST) 。 

如 图 2-13 所 示 ,PP 以 标准 化 的 格式 定义 了 一 套 功 能 要 求 与 保证 要 求 , 它 或 者 来 自 于 
CC, 或 由 用 户 定义 ,用 来 解决 已 知 或 假设 的 安全 问题 (可 能 被 定义 成 对 被 保护 资产 的 威 
胁 ) 。 对 于 一 套 评估 对 象 (简称 TOE) 集 来 说 ,PP 可 以 是 对 完全 满足 安全 目标 集 的 、 与 实 
现 无 关 的 安全 功能 的 描述 。PP 是 设计 可 重用 的 ,并 且 定 义 了 可 有 效 满足 确定 的 功能 和 保 
证 目标 的 TOE 环境 。PP 也 包括 了 安全 性 与 安全 目标 的 基本 原理 。 当 评估 对 象 是 特定 
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图 2-13 保护 轮廓 和 安全 目标 的 开发 过 程 


Ve/ 信息 安全 工程 


类 型 的 IT 产品 或 系统 (如 操作 系统 、 数 据 库 管理 系统 智能卡、 防火 墙 等 ) 时 ,其 安全 需求 
的 定义 是 不 会 因 系统 或 产品 不 同 而 不 同 的 。 

显然 ,PP 与 ST 的 开发 过 程 同时 也 是 安全 工程 过 程 的 一 部 分 。PP 可 以 由 用 户 IT 产 
品 开发 商 或 其 他 有 兴趣 定义 这 样 一 个 要 求 集合 的 集体 所 开发 。PP 给 了 消费 者 一 个 参考 
特定 安全 要 求 的 集合 的 手段 ,有 利于 基于 这 些 要 求 而 在 将 来 实施 评估 。 由 此 可 见 ,PP 是 
一 个 适合 于 ISSE 开发 并 描述 体系 结构 的 CC 文档 ,可 以 作为 采 办 与 技术 评估 的 基础 。 
ST 包括 一 个 可 参考 PP 的 安全 要 求 的 集合 , 它 或 者 直接 引用 CC 的 功能 或 保证 部 分 ,或 者 
更 加 详细 地 对 其 说 明 。ST 将 描述 具体 的 TOE 的 安全 要 求 ,通过 评估 来 考察 这 些 要求 是 
否 能 有 效 地 满足 已 确定 的 安全 目标 。ST 包括 评估 对 象 的 概要 说 明 、 安 全 要 求 与 目标 及 
其 原理 ,是 各 团体 对 TOE 所 提供 的 安全 性 达成 一 致 的 基础 。 

PP 和 ST 也 可 以 是 在 负责 管理 系统 开发 的 团体 .系统 的 所 有 者 及 负责 生产 该 系统 的 
机 构 之 间 互 相 沟通 的 一 种 手段 。 在 这 种 环境 中 ,应 该 建议 ST 对 PP 做 出 响应 。PP 与 ST 
的 内 容 可 以 在 参与 者 之 间 协 商 。 以 PP 与 ST 为 基础 的 对 应 实际 系统 的 评估 是 验收 过 程 
的 一 部 分 。 总 的 来 说 , 非 IT 的 安全 要 求 也 将 被 协商 和 评估 。 通 常 , 安 全 问题 的 解决 方案 
并 不 是 独立 于 系统 的 其 他 要 求 的 。 

CC 的 理念 是 : 在 对 希望 可 信和 的 IT 产品 和 系统 进行 评估 的 基础 之 上 提供 一 种 保证 。 
评估 是 一 种 传统 的 提供 保证 的 方式 ,同时 也 是 先期 评估 准则 文档 的 基础 ,CC 也 采纳 了 同 
样 的 观点 。CC 建议 专业 评估 员 加 大 评估 的 广度 ,深度 与 强度 ,来 检测 文档 的 有 效 性 和 IT 

“= 品 或 系统 的 结果 。 

当然 ,CC 并 不 排除 .也 不 评估 其 他 获取 保证 的 方法 的 优点 。 其 他 成 熟 的 备 选 方法 也 
可 以 考虑 加 入 到 CC 之 中 ,而 CC 的 开放 结构 也 允许 它 今后 引入 其 他 方法 。 

CC 的 理念 宣称 : 用 于 评估 的 努力 越 多 ,安全 保证 效果 便 越 好 ;CC 的 目标 是 用 最 小 的 
努力 来 达到 必需 的 保证 水 平 。 评 估 努 力 程度 的 增加 基于 如 下 因素 : 

。 范围 : 努力 必须 加 大 ,因为 大 部 分 的 IT 产品 与 系统 被 包含 在 内 ; 

。 深度 : 努力 必须 加 深 , 因 为 评估 数据 的 收集 依赖 于 更 好 的 设计 水 平 与 实现 细节 ; 

。 强度 : 努力 必须 加 强 , 因 为 评估 证 据 的 收集 需要 应 用 于 更 加 结构 化 和 形式 化 的 










































































方式 。 
评估 过 程 为 PP 与 ST 所 需 的 保证 提供 了 证 [GE 技术 ] 
据 ,评估 的 概念 和 相互 关系 如 图 2-14 所 示 。 评 放生 给 出 证 据 
估 的 结果 就 是 对 信息 保护 系统 某 种 程度 上 的 确 
信 。 其 他 ISSE 过 程 ,如 风险 管理 或 DITSCAP， 三 到 让 提供 
提供 了 将 这 种 确信 转化 成 管理 决策 准则 的 方法 。 + 
图 2-15 说 明了 系统 (或 子 系统 ) 可 以 参照 需要 “L 人 信心 
PP 或 ST 得 到 评估 , 辅 以 外 部 的 系统 认可 准则 | 
(例如 DITSCAP) ,创建 评估 产品 集 ,从 而 对 系 2 
统 的 认可 过 程 提供 支持 。 最 小 从 全 
信息 安全 界 在 比较 CC 与 其 他 保证 方法 的 一 | 资产 














异同 时 ,常常 认为 CC 的 保证 是 通过 对 产品 的 评 图 2-14 评估 的 概念 和 相互 关系 
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安全 要 求 评估 结果 





















已 认可 系统 





系统 认可 准则 
图 2-15 CC 评估 结果 对 其 他 过 程 的 支持 











佑 而 获得 的 ,而 SSE-CMM 等 信息 安全 工程 所 提供 的 保证 则 是 通过 对 过 程 的 评估 获得 
的 。 在 形式 上 ,的 确 是 这 样 。 但 CC 的 方法 学 中 侧重 的 是 全 面 的 信息 安全 保证 ,而 保证 的 
实现 来 源 于 多 个 角度 ,其 中 便 包括 对 产品 开发 过 程 的 关注 。 图 2-16 说 明了 CC 方法 学 中 
对 产品 开发 过 程 模型 的 阐述 。 从 安全 要 求 逐 步 细 化 至 安全 在 TOE 中 的 实现 ,这 是 完整 
的 软件 开发 过 程 。 









设计 和 实现 细 化 
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图 2-16 CC 对 TOE 开发 过 程 的 阐述 


























所 以 在 最 终 的 TOE 评估 中 ,CC 对 该 过 程 的 安全 性 是 做 了 评估 的 。CC 的 安全 保证 
类 ADV( 开 发 类 ) 便 专门 定义 了 从 TOE 概要 规范 到 实现 安全 功能 的 一 系列 保证 要 求 。 

1) 功能 规范 (ADV_FSP) 

功能 规范 描述 了 TOE 的 安全 功能 ,而 且 它 一 定 是 TOE 安全 功能 要 求 的 一 个 完整 而 
准确 的 实例 化 。 功 能 规范 也 详细 描述 了 TOE 的 外 部 接口 。TOE 的 用 户 希 望 通过 此 接口 
同 TOE 安全 功能 交互 信息 。 
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2) 高 层 设计 (ADV_HLD) 

高 层 设计 是 一 个 顶层 的 设计 规范 , 它 将 安全 功能 规范 细 化 成 安全 功能 的 一 些 组 成 部 
分 。 高 层 设计 指明 了 安全 功能 的 基础 结构 和 主要 的 硬件 .固件 和 软件 元 素 。 

3) 实现 表示 (ADV_IMP) 

实现 表示 是 TOE 安全 功能 的 具体 表示 , 它 根据 可 用 的 源 代码 、 硬 件 图 详细 表述 了 
TOE 安全 功能 的 内 部 工作 方式 。 

4) TSF 内 部 (ADV_INT) 

TOE 安全 功能 内 部 要 求 指明 了 安全 功能 必需 的 内 部 结构 。 

5) 底层 设计 (ADV_LLD) 

底层 设计 是 具体 化 的 设计 规范 , 它 将 高 层 设计 细 化 成 具体 的 一 层 ,作为 编程 或 硬件 构 
造 的 基础 。 

6) 表示 对 应 性 (ADV_RCR) 

表示 对 应 性 论证 了 所 有 TOE 开发 阶段 中 各 相 邻 阶段 (如 TOE 概要 规范 、 功 能 规范 、 
高 层 设计 底层 设计 、 实 现 表示 ) 之 间 的 对 应 性 。 以 保证 最 高 层 的 概要 规范 完全 贯彻 到 底 
层 设计 之 中 。 

7) 安全 策略 模型 (ADV_SPM) 

安全 策略 模型 是 TOE 安全 策略 的 结构 化 描述 ,保证 功能 规范 和 安全 策略 相符 合 ,; 
且 最 终 和 TOE 的 安全 功能 要 求 相符 合 。 这 是 通过 功能 规范 、 安 全 策略 模型 和 模型 化 的 
安全 策略 之 间 的 对 应 来 实现 的 。 

除 此 之 外 ,CC 的 其 他 保证 类 一 一 ACM( 配 置 管理 )、ADD( 交 付 和 运行 )、AGD( 指 导 
性 文件 )、ALC( 生 命 周 期 支持 )、ATE( 测 试 )、AVA( 脆 弱 性 评定 )、.AMA( 保 证 维护 ) 一 一 
也 均 涉 及 ISSE 中 不 同 工 程 阶段 的 过 程 元 素 。 

当然 ,ISSE 对 保证 的 要 求 不 够 , 且 其 以 时 间 维 为 线索 的 描述 方式 也 阻碍 了 其 涵盖 贯 
穿 始终 的 很 多 保证 要 求 。 本 章 对 ISSE 与 其 他 工程 过 程 做 了 比较 ,说 明了 ISSE 的 重要 意 
义 , 但 符合 信息 保证 概念 发 展 . 应 用 范围 更 广 的 是 SSE-CMM。 下 一 章 我 们 将 介绍 SSE- 
CMM ,随后 将 研究 其 方法 学 中 对 风险 分 析 和 保证 方法 的 吸收 。 
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既然 是 系统 工程 ,那么 就 要 用 系统 工程 的 观点 、 方 法 来 对 待 和 处 理 信息 安全 问题 。 安 
全 体系 结构 的 设计 与 安全 解决 方案 的 提出 必须 基于 信息 安全 工程 理论 ,因此 ,对 信息 系统 
建设 部 门 来 说 ,在 建立 与 实施 企业 级 的 信息 与 网 络 系统 安全 体系 时 ,必须 考虑 信息 安全 的 
方方面面 ,兼顾 信息 网 络 的 风险 评估 与 分 析 、 安 全 需求 分 析 、 整 体 安全 策略 、 安 全 模型 、 安 
全 体系 结构 的 开发 .信息 网 络 安全 技术 标准 规范 的 制定 .信息 网 络 安全 工程 的 实施 与 监 
理 、 信 息 网 络 安全 意识 的 教育 与 技术 的 培训 等 各 个 方面 ;对 工程 实施 单位 来 说 ,必须 严格 
按照 信息 安全 工程 的 过 程 、 规 范 进行 实施 ;对 管理 部 门 来 说 ,建议 采用 信息 安全 工程 能 力 
成 熟 度 (SSE-SSM) 对 军事 信息 系统 建设 部 门 安全 工程 的 质量 ,安全 工程 实施 单位 的 实施 
能 力 进行 评估 。 只 有 这 样 才能 实现 真正 意义 上 的 信息 系统 安全 。 


中 mo oo 
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习 题 
. 系统 工程 有 哪些 基本 特性 ? 
. 什么 是 信息 安全 系统 工程 ? 
. 简 述 信息 安全 系统 工程 的 过 程 。 





. 如 何 开展 信息 安全 系统 工程 的 开发 工作 ? 
. 简 述 信息 安全 系统 工程 与 风险 管理 过 程 的 关系 。 
. 通用 准则 CC 与 信息 安全 系统 工程 ISSE 过 程 的 区 别 在 哪里 ? 


系统 安全 工程 能 力 成 熟 度 模型 


学 习 目 标 

。 了解 CMM 的 概念 及 其 每 个 级 别 的 内 涵 ; 
。 知 道 SSE-CMM 的 域 维 和 能 力 维 的 意义 
。 知道 应 用 SSE-CMM 进行 过 程 改进 ; 

。 了解 系统 安全 工程 能 力 评估 过 程 。 


3.1 概 述 


随 着 社会 对 信息 依赖 程度 的 增长 ,信息 的 保护 变 得 越 来 越 重要 。 网 络 .计算机 、 业 务 
应 用 甚至 企业 间 的 广泛 互联 和 互 操作 特性 正在 成 为 产品 和 系统 安全 的 主要 驱动 力 。 安 全 
的 关注 点 已 从 维护 保密 的 政府 数据 到 更 广泛 的 应 用 ,如 金融 交易 、 合 同 协议 .个 人 信息 和 
互联 网 信息 。 因 此 ,非常 有 必要 考虑 和 确定 各 种 应 用 的 潜在 安全 需求 。 潜 在 的 需求 实例 
包括 信息 或 数据 的 机 密 性 、 完 整 性 和 可 用 性 等 直至 系统 安全 的 保障 。 

安全 关注 点 的 动态 变化 性 ,提高 了 信息 安全 工程 的 重要 地 位 。 信 息 安全 工程 正 日 益 
成 为 重要 的 学 科 , 并 将 成 为 多 种 学 科 和 协同 作业 的 工程 组 织 中 的 一 个 关键 性 部 分 。 信 息 
安全 工程 原理 适用 于 系统 和 应 用 的 开发 .集成 .运行 管理、 维护 和 演变 。 这 样 , 信 息 安全 
工程 就 能 够 在 一 个 系统 一 个 产品 或 一 个 服务 中 得 到 体现 。 

信息 系统 安全 工程 是 美国 军 方 在 20 世纪 90 年 代 初 发 布 的 信息 安全 工程 方法 。 其 重 
点 是 通过 实施 系统 工程 过 程 来 满足 信息 保护 的 需求 。 主 要 包括 : 





。 定义 信息 保护 系统 ， 
。 设计 信息 保护 系统 ; 
。 实施 信息 保护 系统 ; 
评估 信息 保护 系统 的 有 效 性 。 
3.1.1 安全 工程 
安全 工程 是 一 个 正在 进化 的 项 目 ,当前 尚 不 存在 业界 一 致 认可 的 精确 定义 。 目 前 只 
能 对 安全 工程 进行 概括 性 的 描述 。 
安全 工程 的 目标 如 下 : 
(1) 获取 对 企业 的 安全 风险 的 理解 
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(2) 根据 已 识别 的 安全 风险 建立 一 组 平衡 的 安全 要 求 ; 

(3) 将 安全 要 求 转 换 成 安全 指南 ,将 其 集成 到 一 个 项 目 实施 的 活动 中 和 系统 配置 或 
运行 的 定义 中 ; 

(4) 在 正确 有 效 的 安全 机 制 下 建立 信心 和 保证 ; 

(5) 判断 系统 中 和 系统 运行 时 残留 的 安全 脆弱 性 对 运行 的 影响 是 否 可 容忍 ( 即 可 接 
受 的 风险 ); 

(6) 将 所 有 项 目 和 专业 活动 集成 到 一 个 可 共同 理解 系统 安全 可 信 性 的 程度 。 


3.1.2 CMM 介绍 


一 个 组 织 或 企业 从 事 工程 的 能 力 将 直接 关系 到 工程 的 质量 。 国 际 上 通常 采用 能 力 成 
熟 度 模型 (Capability Maturity Model, CMM) 来 评估 一 个 组 织 的 工程 能 力 。CMM 模型 
是 建立 在 统计 过 程控 制 理 论 基 础 上 的 。 统 计 过 程控 制 理论 指出 ,所 有 成 功 企业 都 有 共同 
特点 , 即 具 有 一 组 定义 严格 ,管理 完善 .可 测量 的 工作 过 程 。CMM 模型 认为 ,能 力 成 熟 度 
高 的 企业 持续 生产 高 质量 产品 的 可 能 性 很 大 ,而 工程 风险 则 很 小 。 

1. CMM 概念 

CMM 用 来 确定 一 个 企业 的 软件 过 程 的 成 熟 程度 以 及 指明 如 何 提高 该 成 熟 度 的 参考 
模型 。 包 括 开 发 和 维护 软件 及 其 相关 (中 间 ) 产 品 时 所 涉及 的 各 种 活动 方法、 实践 和 改革 
等 , 即 软件 的 开发 过 程 。 

为 了 获得 利润 ,软件 企业 要 建立 并 且 必 须 保障 产品 的 信誉 。 包 括 提高 产品 本 身 的 品 
质 ,提高 产品 满足 需求 的 程度 ,严格 产品 的 工期 要 求 ,降低 产品 的 成 本 等 。 因 此 ,产品 的 高 
质量 与 生产 过 程 的 高 要 求 是 获得 利润 的 关键 。 

在 软件 开发 过 程 中 .企业 的 产品 本 身 主要 存在 不 能 满足 用 户 的 需求 .质量 难以 满足 预 
定 要 求 .bug 过 多 等 问题 ;过 程 方 面 则 存在 成 本 和 工期 不 可 测 \ 成 功 的 软件 开发 经 验 过 于 
依赖 于 个 人 而 不 可 重复 等 问题 。 归 根 到 底 是 过 程 不 规范 (不 成 熟 ) 。 

因此 ,美国 国防 部 指定 CMU ( 卡 内 基 - 梅 隆 大 学 ) 的 软件 工程 研究 所 (Software 
Engineering Institute, SE1D) 研 究 了 一 套 过 程 规范 一 一 CMM 。 

2. CMM 概述 

CMM 为 企业 的 发 展 规定 了 过 程 成 熟 级 别 , 分 为 5 级 (version 1. 0)。 

。 初始 级 (Initial) : 一 般 企业 皆 具有 ; 

。 可 重复 级 (Repeatable): 成 功 经 验 可 以 重复 ; 

。 定义 级 (Defined) : 一 套 完整 的 企业 过 程 , 人 员 自 觉 遵守 (培训 ); 

。 管理 级 (Managed) : 过 程 和 产品 可 度量 和 控制 ; 

。 优化 级 (Optimizing) : 过 程 持续 改进 。 

从 无 序 到 有 序 、 从 特殊 到 一 般 、 从 定性 管理 到 定量 管理 ,最 终 达 到 动态 优化 。 

3. CMM 的 概念 模型 

如 图 3-1 所 示 为 CMM 概念 模型 .CMM 的 一 个 成 熟 级 别 指示 了 这 个 级 别 的 过 程 能 
力 , 它 包含 许多 关键 过 程 域 (KPA)。 每 个 KPA 代表 一 组 相关 的 工作 (活动 ) ,每 个 KPA 
都 有 一 个 确定 的 目标 ,完成 该 目标 即 认为 过 程 能 力 的 提高 。 
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图 3-1 CMM 概念 模型 





每 个 KPA 的 工作 以 组 织 方式 细 化 为 一 般 特性 CF(Common Features)。 每 个 CF 都 
对 实施 或 规则 的 建立 进行 说 明 , 它 是 由 若干 关键 实施 (KP) 组 成 ,KP 是 软件 过 程 的 基础 结 
构 或 活动 。 

4. CMM 的 五 个 级 别 

1) 初始 级 

该 级 别处 于 混沌 的 阶段 。 此 时 不 具备 稳定 的 环境 用 于 软件 开发 和 维护 ;缺乏 健全 的 
管理 惯例 ,其 软件 过 程 能 力 无 法 预计 ;软件 过 程 是 一 片 混 沌 ,总 是 随 着 软件 开发 工作 的 推 
进而 处 于 变更 和 调整 之 中 。 

2) 可 重复 级 

软件 开发 的 首要 问题 不 是 技术 问题 而 是 管理 问题 ,因此 ,可 重复 级 的 焦点 集中 在 软件 
管理 过 程 上 。 一 个 可 管理 的 过 程 是 一 个 可 重复 级 的 过 程 ,一 个 可 重 级 的 过 程 能 逐渐 进化 
和 成 熟 。 该 级 管理 过 程 包括 需求 管理 ,项 目 管理 .质量 管理 ,配置 管理 和 子 合同 管理 五 个 
方面 。 项目 管理 分 为 计划 过 程 和 跟踪 监控 过 程 两 个 过 程 ,通过 实施 这 些 过 程 ,从 管理 角度 
可 以 看 到 一 个 按 计 划 执 行 的 且 阶 段 可 控 的 软件 开发 过 程 。 

3) 定义 级 

定义 级 的 每 个 阶段 内 部 活动 可 见 , 共 有 7 个 KPA, 分 别 是 机 构 过 程 关 注 
(Organization Process Focus) ,机 构 过 程 定义 (Organization Process Definition) ,培训 计 
划 (Training Program) ,集成 软件 管理 (Integrated Software Management) .软件 产 品 工程 
(Software Product Engineering) ,组 间 协 调 (Intergroup Coordination) 和 对 等 审查 (Peer 
Reviews) 。 

将 这 些 标准 集成 到 企业 软件 开发 标准 过 程 中 去 。 所 有 开发 的 项 目 须 根据 这 个 标准 过 
程 剪裁 出 该 项 目的 过 程 ,并 执行 这 些 过 程 。 

对 用 于 软件 开发 和 维护 的 标准 过 程 要 以 文件 形式 固定 下 来 。 针 对 各 个 基本 过 程 建立 
起 文件 化 的 “标准 软件 过 程 ”。 
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较 普遍 的 看 法 是 ,只 有 当 达 到 了 第 3 级 能 力 成 熟 度 时 , 才 表明 这 个 软件 组 织 的 软件 能 
力 “ 成 熟 " 了 。 定 义 级 是 标准 一 致 的 软件 过 程 。 

4) 管理 级 

第 四 级 的 管理 是 量化 的 管理 , 设 定 定量 的 质量 目标 。 

所 有 过 程 都 须 建立 相应 的 度量 方式 ,所 有 产品 的 质量 (包括 工作 产品 和 提交 给 用 户 的 
产品 ) 须 有 明确 的 度量 指标 。 这 些 度量 是 详尽 的 , 且 可 用 于 理解 .控制 软件 过 程 和 产品 ,这 
种 量化 控制 将 使 软件 开发 真正 变 为 工业 生产 活动 。 

处 于 这 一 级 的 组 织 已 经 能 够 为 软件 产品 和 软件 过 程 设 定 定量 的 质量 目标 ,并 且 能 对 
跨 项 目的 重要 软件 过 程 活动 的 效率 和 质量 予以 度量 。 管 理 级 是 可 度量 .可 预测 的 软件 
过 程 。 

5) 优化 级 

第 五 级 的 目标 是 达到 一 个 持续 改善 的 境界 ,是 持续 优化 级 。 

可 根据 过 程 执 行 的 反馈 信息 来 改善 下 一 步 的 执行 过 程 , 即 优化 执行 步骤 。 如 果 一 个 
企业 达到 了 这 一 级 , 则 表明 该 企业 能 够 根据 实际 的 项 目 性 质 、 技 术 等 因素 ,不 断 调整 软件 
生产 过 程 以 求 达到 最 佳 。 优 化 级 是 能 持续 改善 的 软件 过 程 。 

20 世纪 80 年 代 中 期 ,美国 联邦 政府 提出 对 软件 承包 商 的 软件 开发 能 力 进 行 评估 的 
要 求 。 在 Mitre 公司 的 帮助 下 ,1987 年 9 月 ,美国 卡 内 基 - 梅 隆 大 学 软件 工程 研究 所 发 布 
了 软件 过 程 成 熟 度 框架 ,并 提供 了 软件 过 程 评估 和 软件 能 力 评价 两 种 评估 方法 和 软件 成 
熟 度 提问 单 。 

4 年 之 后 , SEI 将 软件 过 程 成 熟 度 框架 进化 为 软件 能 力 成 熟 度 模 型 (Capability 
Maturity Model For Software, SW-CMM)。1991 年 8 月 ,SEI 发布 了 最 早 的 SW-CMM 
v1.0。 经 过 两 年 的 试用 ,1993 年 SEI 正式 发 布 了 SW-CMM vl.1。 自 1995 年 ,CMM 又 
进入 了 另 一 个 修改 的 高 峰 期 ,在 美国 政府 和 软件 业界 大 力 支持 和 积极 参与 下 ,SEI 先后 发 
表 了 CMM 2.0 版 的 A 版 .B 版 和 C 版 草案 ;1997 年 ,CMM 2.0C 版 草案 停止 推进 。SEI 
宣布 ,CMM 1. 1 版 和 CMM 2.0C 版 草案 都 有 效 , 并 且 SEI 及 其 授权 的 机 构 为 这 两 种 版 本 
提供 相应 的 服务 。 自 CMM 1. 1 发 布 起 ,SEI 相继 研制 并 发 布 了 “人 员 能 力 成 熟 度 模型 
(P-CMM)”“ 软 件 访问 能 力 成 熟 度 模型 (SA-CMM)” 和 “系统 工程 能 力 成 熟 度 模型 
(SE-CMM)” 及 其 支持 文件 。 


3.1.3 安全 工程 与 其 他 项 目的 关系 


完整 的 安全 工程 包括 如 下 活动 : 
。 前 期 概念 ; 

。 开发 和 定义 ; 

。 证 明 与 证 实 ; 

。 工程 实施 、 开 发 和 制造 ; 

。 生产 和 部 署 ; 

。 运行 和 支持 ; 

。 淘汰 。 


信息 安全 工程 


安全 工程 活动 与 许多 其 他 项 目 息息相关 ,包括 企业 工程 .系统 工程 .软件 工程 人 力 因 
素 工程 通信 工程 硬件 工程 ,测试 工程 和 系统 管理 等 。 

因为 运行 安全 的 保证 和 可 接受 性 是 在 开发 者 、 集 成 商 、 买 主 、 用 户 ,评估 机 构 和 其 他 组 
织 之 间 建 立 的 ,所 以 安全 工程 活动 必须 要 与 其 他 外 部 实体 进行 协调 。 也 正 是 因为 存在 这 
些 与 其 他 部 分 的 接口 并 贯穿 于 组 织 的 各 个 方面 ,所 以 安全 工程 比 其 他 工程 更 加 复杂 。 


3.2 SSE-CMM 基础 


为 了 将 CMM 模型 引入 到 系统 安全 工程 领域 , 1994 年 ,美国 国家 安全 局 .美国 国防 
部 ,加拿大 通信 安全 局 以 及 60 多 家 著名 公司 共同 启动 了 面向 系统 安全 工程 的 能 力 成 熟 度 
模型 (System Security Engineering Capability Maturity, SSE-CMM) 。 

SSE-CMM 确定 了 一 个 评价 安全 工程 实施 的 综合 框架 ,提供 了 度量 与 改善 安全 工程 
学 科 应 用 情况 的 方法 ,也 就 是 说 ,对 合格 的 安全 工程 实施 者 的 可 信人 性 ,是 建立 在 一 个 工程 
组 的 安全 实施 与 过 程 的 成 熟 性 评估 之 上 的 。 


3.2.1 系统 安全 工程 能 力 成 熟 度 模型 简介 


系统 安全 工程 是 系统 工程 的 一 个 子 集 ,而 信息 系统 安全 工程 是 系统 安全 工程 的 一 个 
子 集 , 其 安全 体系 和 策略 必须 遵从 系统 安全 工程 的 一 般 性 原则 和 规律 。 

SSE-CMM 是 一 种 衡量 系统 安全 工程 实施 能 力 的 方法 ,是 一 种 使 用 面向 工程 过 程 的 
方法 。SSE-CMM 模型 抽取 了 这 样 一 组 "好 的 "工程 实施 并 定义 了 过 程 的 “能 力 ”。SSE- 
CMM 主要 用 于 指导 系统 安全 工程 的 完善 和 改进 ,使 系统 安全 工程 成 为 一 个 清晰 定义 的 、 
成 熟 的 可 管理 的 、 可 控制 的 有 效 的 和 可 度量 的 学 科 。 

SSE-CMM 模型 是 系统 安全 工程 实施 的 度量 标准 , 它 覆 六 了 : 
整个 生命 期 ,包括 工程 开发 ,运行 ,维护 和 终止 ; 

。 管理 .组织 和 工程 活动 等 的 组 织 ; 

。 与 其 他 规范 如 系统 软件、 硬件 .人 的 因素 .测试 工程 .系统 管理 .运行 和 维护 等 规 
范 并 行 的 相互 作用 ; 

与 其 他 组 织 ( 包 括 获取 ,系统 管理 .认证 .认可 和 评估 组 织 ) 的 相互 作用 。 

1. SSE-CMM 发 展 

1994 年 4 月 启动 的 SSE-CMM 项 目 力求 在 原 有 CMM 的 基础 上 ,通过 对 安全 工作 过 
程 进行 管理 的 途径 将 系统 安全 工程 转变 为 一 个 完好 定义 的 、 成 熟 的 .可 测量 的 先进 学 科 。 
1996 年 10 月 ,模型 第 一 版 问世 ,主管 单位 随即 选择 了 五 家 公司 对 模型 进行 了 长 达 一 年 的 
试用 ,并 依据 试用 经 验 ,将 模型 进行 了 几 次 更 新 。1998 年 10 月 ,SSE-CMM 2. 0 版 本 公 
使 用 , 稍 后 提交 国际 标准 化 组 织 申请 作为 国际 标准 。2002 年 ,国际 标准 化 组 织 正式 公 
了 系统 安全 能 力 成 熟 度 模型 的 标准 . 即 ISO/VIEC 21827 一 2002《Information Technology- 
Systems Security Engineering-Capability Maturity Model(SSE-CMM) )。 

SSE-CMM 确定 了 一 个 评价 安全 工程 实施 的 综合 框架 ,提供 了 度量 与 改善 安全 工程 
学 科 应 用 情况 的 方法 。SSE-CMM 项 目的 目标 是 将 安全 工程 发 展 为 一 整套 有 定义 的 、 成 
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熟 的 及 可 度量 的 学 科 。SSE-CMM 模型 及 其 评价 方法 可 达到 以 下 几 点 目的 : 

。 将 投资 主要 集中 于 安全 工程 工具 开发 、 人 员 培 训 、 过 程 定义 管理 活动 及 改善 等 

方面 ; 

。 基于 能 力 的 保证 ,也 就 是 说 这 种 可 信 性 建立 在 对 一 个 工程 组 的 安全 实施 与 过 程 成 

熟 性 的 信任 之 上 ; 

。 通 过 比较 竞标 者 的 能 力 水 平 及 相关 风险 ,可 有 效 地 选择 合格 的 安全 工程 实施 者 。 

SSE-CMM 描述 的 是 ,为 确保 实施 较 好 的 安全 工程 ,过 程 必须 具备 的 特征 ,SSE-CMM 
描述 的 对 象 不 是 具体 的 过 程 或 结果 ,而 是 工业 中 的 一 般 实施 。 这 个 模型 是 安全 工程 实施 
的 标准 , 它 主要 涵盖 以 下 内 容 : 

。 它 强调 的 是 分 布 于 整个 安全 工程 生命 周期 中 各 个 环节 的 安全 工程 活动 ,包括 概念 
定义 、 需 求 分 析 \ 设 计 、 开 发 ,集成 .安装 ,运行 维护 及 更 新 ; 

它 应 用 于 安全 产品 开发 者 、 安 全 系统 开发 者 及 集成 者 ,还 包括 提供 安全 服务 与 安 
全 工程 的 组 织 ; 
它 适用 于 各 种 类 型 规模 的 安全 工程 组 织 , 如 商业 ,政府 及 学 术 界 。 

尽管 SSE-CMM 模型 是 一 个 用 以 改善 和 评估 安全 工程 能 力 的 独特 的 模型 ,但 这 并 不 
意味 着 安全 工程 将 游离 于 其 他 工程 领域 之 外 进行 实施 。SSE-CMM 模型 强调 的 是 一 种 集 
成 , 它 认 为 安全 性 问题 存在 于 各 种 工程 领域 之 中 ,同时 也 包含 在 模型 的 各 个 组 件 之 中 。 

SSE-CMM 适用 于 开发 者 \ 评 估 者 、 系 统 集成 者 、 系 统管 理 者 、 各 类 安全 专家 等 。 根 据 
目标 读者 的 不 同 ,可 选择 使 用 该 标准 已 定义 的 一 组 安全 工程 实施 过 程 。 换 句 话说 ,SSE- 
CMM 模型 适用 于 所 有 从 事 某 种 形式 安全 工程 的 组 织 , 可 以 不 必 考 虑 产品 的 生命 周期 ,组 
织 的 规模 、 领 域 及 特殊 性 。 这 一 模型 通常 以 下 述 三 种 方式 来 应 用 。 

。 过 程 改进 : 可 以 使 一 个 安全 工程 组 织 对 其 安全 工程 能 力 的 级 别 有 一 个 认识 ,于 是 
可 设计 出 改善 的 安全 工程 过 程 ,这 样 就 可 以 提高 他 们 的 安全 工程 能 力 。 

能 力 评估 : 使 一 个 客户 组 织 可 以 了 解 其 提供 商 的 安全 工程 过 程 能 力 。 
。 保证: 通过 声明 提供 一 个 成 熟 过 程 所 应 具有 的 各 种 依据 ,使 得 产品 .系统 .服务 更 
具 可 信 性 。 

目前 ,SSE-CMM 已 经 成 为 西方 发 达 国 家 政府 、 军 队 和 要 害 部 门 组 织 和 实施 安全 工程 
的 通用 方法 ,是 系统 安全 工程 领域 里 成 熟 的 方法 体系 ,在 理论 研究 和 实际 应 用 方面 具有 举 
足 轻 重 的 作用 。 

中 国信 息 安 全 产品 测评 认证 中 心 在 对 信息 系统 和 信息 安全 服务 资质 进行 测评 认证 
时 ,结合 我 国信 息 安全 服务 提供 商 的 总 体 水 平和 安全 意识 ,根据 GB/T 18336 一 2001《 信 
息 技术 安全 技术 信息 技术 安全 性 评估 准则 》 和 ISO/IEC 21827 一 2002《 系统 安 全 工程 能 
力 成 熟 度 模型 ), 制 定 了 《信息 系统 安全 保障 通用 评估 框架 》 和 《信息 安全 服务 评估 准则 》。 

2. SSE-CMM 的 用 户 

安全 的 趋势 是 从 保护 要 害 部 门 的 保密 数据 转向 涉及 更 广泛 的 领域 ,其 中 包括 金融 交 
易 、 合 同 . 个 人 信息 和 互联 网 ,因此 用 于 维护 和 保护 这 些 信息 的 产品 ,系统 和 服务 开始 迅速 
发 展 。 这 些 安全 产品 和 系统 进入 市 场 一 般 有 两 种 途径 : 通过 长 周期 且 昂 贵 的 评定 后 进入 
市 场 ,或 者 不 加 评估 就 进入 市 场 。 对 于 前 者 ,安全 产品 无 法 及 时 进入 市 场 来 满足 用 户 安全 
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需求 , 当 进入 市 场 后 ,产品 所 具有 的 安全 功能 就 解决 的 威胁 而 言 已 经 过 时 。 对 于 后 者 , 购 
买 者 和 用 户 只 能 依赖 于 产品 或 系统 开发 者 或 操作 者 的 安全 说 明 , 这 造成 市 场 上 的 安全 工 
程 服务 都 将 基于 这 种 空洞 的 无 法 律 依 据 的 基础 。 

这 种 情况 要 求 组 织 以 一 个 更 成 熟 的 方式 来 实施 安全 工程 。 特 别 地 ,在 安全 系统 和 安 
全 产品 生产 和 操作 过 程 中 要 求 以 下 特性 。 

。 连续 性 : 以 前 获得 的 知识 将 用 于 将 来 ; 

。 重复 性 : 保证 项 目 可 成 功 重复 实施 的 方法 ; 

。 有 效 性 : 可 帮助 开发 者 和 评价 者 都 更 有 效 工作 的 方法 ; 

。 保证 : 落实 安全 需求 的 信心。 

为 了 达到 这 些 要 求 , 需 要 有 一 个 机 制 来 指导 组 织 机 构 去 理解 和 改进 其 安全 工程 实施 。 
SSE-CMM 正 是 出 于 这 个 目的 ,用 于 改进 安全 工程 实施 的 现状 ,以 达到 提高 安全 系统 、 安 
全 产品 和 安全 工程 服务 的 质量 和 可 用 性 并 降低 成 本 的 目的 。 

SSE-CMM 描述 了 一 个 组 织 的 系统 安全 工程 过 程 必须 包含 的 基本 特性 ,这 些 特 性 是 
完善 系统 安全 工程 的 保证 ,也 是 系统 安全 工程 实施 的 度量 标准 ,同时 还 是 一 个 易于 理解 的 
评估 系统 安全 工程 实施 的 框架 。 

如 前 所 述 ,SSE-CMM 标准 适用 于 可 信 产 品 或 系统 整个 生命 期 的 安全 工程 活动 ,其 中 
包括 概念 定义 .需求 分 析 、` 设 计 、 开 发 .集成 .安装 .运行 .维护 和 终止 ,也 可 用 于 安全 产品 开 
发 者 、 安 全 系统 开发 者 、 集 成 商 和 提供 安全 服务 .安全 工程 的 组 织 机 构 ,还 可 应 用 于 所 有 类 
型 和 大 小 的 安全 工程 机 构 , 如 商务 机 构 ,政府 机 构 和 学 术 机 构 。 概 括 起 来 ,SSE-CMM 主 
要 适用 于 安全 的 工程 组 织 (Engineering Organizations)、 获 取 组 织 (Acquiring 
Organizations) 和 评估 组 织 (Evaluation Organizations) 。 

工程 组 织 包含 系统 集成 商 \ 应 用 开发 商 、 产 品 提供 商 和 服务 提供 商 等 。 工 程 组 织 使 用 
SSE-CMM 对 工程 能 力 进 行 自我 评估 ,从 而 使 组 织 : 

。 通过 可 重复 和 可 预测 的 过 程 和 实施 来 减少 返工 ,提高 质量 与 降低 成 本 ; 

。 获得 真正 的 工程 能 力 认可 ; 

。 可 度量 组 织 的 资质 (成 熟 度 ); 

。 非常 明确 过 程 和 实施 中 不 断 的 改进 方法 。 

获取 组 织 包含 采购 系统 .产品 ,以 及 从 外 部 /内 部 资源 和 最 终 用 户 处 获取 服务 的 组 织 。 

获取 组 织 使 用 SSE-CMM 来 判别 一 个 供应 者 组 织 的 系统 安全 工程 能 力 , 识 别 该 组 织 
供应 的 产品 和 系统 的 可 信任 性 ,以 及 完成 一 个 工程 的 可 信任 性 ,从 而 达到 : 

。 减少 选择 不 合格 投标 者 的 风险 (包括 性 能 、 成 本 、 工 期 等 风险 ); 

。 有 了 工业 标准 的 统一 评估 ,减少 争议 ; 

。 在 产品 生产 或 提供 服务 过 程 中 ,建立 起 可 预测 和 可 重复 的 可 信和 度 ; 

。 有 可 重用 的 标准 的 提案 请 求 (Request for Proposal, RFP) 语 言 , 以便 对 供应 者 迅 

速 而 准确 地 提出 需求 ; 

。 有 可 重用 的 标准 的 评估 方法 。 

评估 组 织 包 含 认证 组 织 、 系 统 授 权 组 织 、 系 统 和 产品 评估 组 织 等 。 

评估 组 织 使 用 SSE-CMM 作为 工作 基础 ,以 建立 被 评 组 织 整体 能 力 的 信任 度 。 这 个 
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信任 度 是 系统 和 产品 的 安全 保证 要 素 。 

评估 组 织 使 用 SSE-CMM 的 目的 是 : 

。 获得 独立 于 系统 或 产品 的 可 重用 的 过 程 评定 结果 ; 

。 获得 能 力 表现 的 可 信 度 ,减少 评估 工作 量 ; 

。 建立 系统 安全 工程 中 的 可 信任 度 ; 

。 建立 系统 安全 工程 集成 于 其 他 工程 中 的 可 信任 度 。 

3. SSE-CMM 的 项 目 组 织 

SSE-CMM 项 目 进展 得 益 于 安全 工程 业界 .美国 国防 部 办 公 室 和 加 拿 大 通信 安全 机 
构 积 极 参与 和 共同 的 投入 ,并 得 到 NSA 的 部 分 装 助 和 配合 。SSE-CMM 项 目 结构 包括 一 
个 指导 组 .评定 方法 组 ,模型 维护 组 、 生 命 期 支持 组 ,轮廓 ,保证 和 度量 组 ,赞助 .规划 和 采 
用 组 以 及 关键 人 员 评 审 和 业界 评审 。SSE-CMM 项 目 结构 如 图 3-2 所 示 。 
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图 3-2 SSE-CMM 项 目 结构 


指导 组 在 促进 SSE-CMM 被 广泛 接受 和 采纳 的 同时 ,监督 指导 SSE-CMM 的 工作 过 
程 ,产品 定义 和 项 目 进展 。 

评定 方法 组 负责 维护 SSE-CMM 的 评定 方法 : 系统 安全 工程 能 力 成 熟 度 模型 评估 方 
法 (SSE-CMM Appraisal Method,SSAM) ,其 中 包括 开发 第 三 方 的 评定 方法 。 当 需要 时 ， 
评估 方法 组 还 负责 计划 ,支持 和 分 析 一 个 实验 程序 来 测试 第 三 方 的 评定 方法 。 

模型 维护 组 负责 维护 模型 。 这 包括 确保 过 程 区 覆盖 所 有 业界 内 的 安全 活动 ,将 SSE- 
CMM 与 其 他 模型 的 冲突 减少 到 最 少 ,在 模型 文档 中 精确 描述 SSE-CMM 与 其 他 模型 的 

生命 期 支持 组 负责 开发 和 建立 一 个 评定 者 资格 和 评定 组 织 可 比 性 机 制 ;负责 设计 和 
实现 一 个 数据 库 , 用 于 维护 评估 数据 以 及 准备 和 发 布 如 何 解释 和 维护 这 些 数据 的 指南 。 

轮廓 、 保 证 和 度量 组 的 任务 是 调查 和 确认 轮廓 的 概念 ,确定 并 文档 化 SSE-CMM 实 
施 保证 的 作用 ,鉴别 和 验证 安全 相关 于 使 用 SSE-CMM 的 安全 和 过 程 的 度量 方式 。 

赞助 .计划 和 使 用 组 负责 贯彻 赞助 选择 (在 需要 时 ,还 包括 为 一 个 组 织 进行 计划 和 定 
义 以 维护 SSE-CMM) ;开发 和 维护 完整 的 项 目 时 间 表 ,促进 和 促使 各 种 感 兴趣 的 团体 使 
用 和 采用 SSE-CMM. 

关键 人 员 评 审 提供 正式 评审 责任 承诺 并 按时 提供 对 SSE-CMM 项 目 工 作 产 品 的 评 
审 意见 。 业 界 评审 也 可 以 评审 工作 产品 ,但 无 须 正式 的 责任 承诺 。 

成 员 组 织 以 赞助 参与 者 的 方式 来 支持 工作 组 。SSE-CMM 项 目的 发 起 人 NSA, 在 国 
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防 部 和 通信 安全 军事 组 织 的 支持 下 .提供 技术 转移 、 项 目 帮助 和 技术 支持 的 资助 。 

SSE-CMM 是 由 一 些 在 开发 安全 产品 .系统 和 提供 安全 服务 方面 有 长 期 成 功 经 验 的 
公司 合作 开发 的 。 关 键 评 审 者 是 从 大 量具 有 安全 工程 专业 背景 的 专家 中 选 出 的 ,这 些 专 
业 背 景 对 模型 的 作者 经 验 是 一 个 补充 。 
3.2.2 ”系统 安全 工程 过 程 

SSE-CMM 将 系统 安全 工程 过 程 划 分 为 风险 过 程 (Risk Process)、 工程 过 程 
(Engineering Process) 和 保证 过 程 (Assurance Process) 三 个 基本 的 过 程 区 ( 见 图 3-3)。 
它们 相互 独立 ,但 又 有 着 有 机 的 联系 。 粗 略 地 说 来 ,风险 过 程 识别 出 所 开发 的 产品 或 系统 
的 危险 ,并 对 这 些 危 险 进 行 优先 级 排序 。 针 对 危险 所 面临 的 安全 问题 ,系统 安全 工程 过 程 
要 与 其 他 工程 一 起 来 确定 和 实施 解决 方案 。 最 后 ,由 安全 保证 过 程 建立 起 解决 方案 的 可 
信和 性 并 向 用 户 转 达 这 种 安全 可 信 性 。 

产品 或 服务 
es, 


人 人 


保证 过 程 风险 过 程 


保证 论据 | 风险 信息 


图 3-3 系统 安全 工程 过 程 的 组 成 部 分 



































总 的 来 说 ,这 三 个 过 程 共 同 实 现 了 系统 安全 工程 过 程 结果 所 要 达到 的 安全 目标 。 

1. 风险 

系统 安全 工程 的 一 个 主要 目标 是 降低 风险 。 风 险 就 是 有 害 事件 发 生 的 可 能 性 及 其 危 
害 后 果 。 出 现 不 确定 因素 的 可 能 性 取决 于 各 个 系统 的 具体 情况 ,这 就 意味 着 这 种 可 能 性 
仅 可 能 在 某 些 限制 条 件 下 才 可 预测 。 此 外 ,对 一 种 具体 风险 的 影响 进行 评估 ,必须 要 考虑 
各 种 不 确定 因素 。 因 此 大 多 数 因素 是 不 能 被 综合 起 来 准确 预报 的 。 在 很 多 情况 下 ,不 确 
定 因素 的 影响 是 很 大 的 ,这 就 使 得 对 安全 的 规划 和 判断 变 得 非常 困难 。 

一 个 有 害 事件 由 威胁 脆弱 性 和 影响 三 个 部 分 组 成 。 脆 弱 性 包括 可 被 威胁 利用 的 资 
产 性 质 。 如 果 不 存在 脆弱 性 和 威胁 , 则 不 存在 有 害 事件 ,也 就 不 存在 风险 。 风 险 管理 是 调 
查 和 量化 风险 的 过 程 , 并 建立 组 织 对 风险 的 承受 级 别 , 它 是 安全 管理 的 一 个 重要 部 分 。 风 
险 管理 过 程 如 图 3-4 所 示 。 

安全 措施 的 实施 可 以 减轻 风险 。 安 全 措施 可 针对 威胁 和 脆弱 性 自身 。 但 无 论 如 何 ， 
不 可 能 消除 所 有 威胁 或 根除 某 个 具体 威胁 ,这 主要 是 考虑 到 消除 风险 所 需 的 代价 ,以 及 与 
风险 相关 的 各 种 不 确定 性 ,因此 .必须 接受 残留 的 风险 。 在 存在 很 大 不 确定 性 的 情况 下 ， 
由 于 风险 度量 不 精确 的 本 质 特征 ,在 怎样 的 程度 上 接受 它 才 是 恰当 的 ,往往 会 成 为 很 大 的 
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图 3-4 风险 管理 过 程 


问题 。SSE-CMM 过 程 区 包括 实施 组 织 对 威胁 ,脆弱 性 .影响 和 相关 风险 进行 分 析 的 活动 
保证 。 

2. 工程 

系统 安全 工程 与 其 他 工程 活动 一 样 ,是 一 个 包括 概念 .设计 、 实 现 ` 测 试 .部 署 . 运行、 
维护 ,退出 的 完整 过 程 ( 见 图 3-5)。 在 这 个 过 程 中 ,系统 安全 工程 的 实施 必须 紧密 地 与 其 
他 系统 工程 组 进行 合作 。SSE-CMM 强调 系统 安全 工程 师 是 一 个 大 项 目 队伍 中 的 组 成 部 
分 ,需要 与 其 他 科目 工程 师 的 活动 相互 协调 。 这 将 有 助 于 保证 安全 成 为 一 个 大 项 目 过 程 
中 一 个 部 分 ,而 不 是 一 个 分 离 的 独立 部 分 。 















































风险 信息 
PA10: 确 定安 全 需求 一 一 一 J PA08: 监 视 安全 态势 
要 求 、 策 略 等 PA07: 协 调 安 全 配置 信息 
PA09: 提 供 安全 输入 | “|_PA01: 实 施 安全 控制 




















解决 方案 、 指导 等 
图 3-5 系统 安全 工程 过 程 














使 用 上 面 所 描述 的 风险 管理 过 程 的 信息 和 关于 系统 需求 .相关 法 律 ,政策 的 其 他 信 
息 ,系统 安全 工程 师 就 可 以 与 用 户 一 起 来 识别 安全 需求 。 一 旦 需求 被 识别 ,系统 安全 工程 
师 就 可 以 识别 和 跟踪 特定 的 安全 需求 了 。 

对 于 安全 问题 ,创建 安全 解决 方案 一 般 先 识别 可 能 选择 的 方案 ,然后 评估 决定 哪 一 种 
更 可 能 被 接受 。 将 这 个 活动 与 工程 过 程 的 其 他 活动 相 结合 的 困难 之 处 ,是 解决 方案 不 能 
只 考虑 安全 问题 ,还 需要 考虑 其 他 因素 ,例如 成 本 、 性 能 、 技 术 风险 、 使 用 的 简易 性 等 。 

在 生命 期 后 面 的 阶段 ,还 要 求 系统 安全 工程 师 适当 地 配置 产品 和 系统 以 确保 新 的 风 
险 不 会 造成 系统 在 不 安全 的 状态 下 运行 。 


Ne/ 信息 安全 工程 


3. 保证 

保证 是 指 安全 需求 得 到 满足 的 可 信 程 度 ( 见 图 3-6) , 它 是 系统 安全 工程 非常 重要 的 
产品 。 保 证 的 形式 多 种 多 样 ,SSE-CMM 的 可 信 程 度 来 自 于 系统 安全 工程 过 程 可 重复 性 
的 结果 质量 。 这 种 可 信 性 的 基础 是 工程 组 织 的 成 熟 性 ,成 熟 的 组 织 比 不 成 熟 的 组 织 更 可 
能 产生 出 重复 的 结果 。 不 同 保证 形式 之 间 的 详细 关系 是 目前 正在 研究 的 课题 。 








PA11: 验 证 和 证 实 安全 一 一 








PA06: 建 立 保证 论据 








保证 论据 


其 他 多 个 PA 














证 据 
图 3-6 保证 过 程 


安全 保证 并 不 能 增加 任何 额外 的 对 安全 相关 风险 的 抗拒 能 力 , 但 它 能 为 减少 预期 安 
全 风险 提供 信心 。 安 全 保证 也 可 看 作 是 安全 措施 按照 需求 运行 的 信心 。 这 种 信心 来 自 于 
措施 及 其 部 署 的 正确 性 和 有 效 性 。 正 确 性 保证 了 安全 措施 按 设 计 实 现 了 需求 ,有 效 性 则 
保证 了 提供 的 安全 措施 可 充分 地 满足 用 户 的 安全 需求 。 安 全 机 制 的 强度 也 会 发 挥 作用 ， 
但 其 作用 却 受 到 保护 级 别 和 安全 保证 程度 的 制约 。 

安全 保证 通常 以 安全 论据 的 形式 出 现 。 安 全 论据 包括 一 系列 具有 系统 特性 的 需求 。 
这 些 需 求 都 要 有 证 据 来 支持 。 证 据 在 系统 安全 工程 活动 的 正常 过 程 期 间 获 得 ,并 被 记录 
在 文档 中 。 

SSE-CMM 活动 本 身 涉及 与 安全 相关 证 据 的 产生 。 例 如 ,过 程 文件 能 够 表示 开发 是 
遵循 一 个 充分 定义 的 成 熟 度 工程 过 程 ,这 个 过 程 须 加 以 持续 改进 。 安 全 验证 和 证 实在 建 
立 一 个 可 信和 产品 或 系统 中 起 到 主要 作用 。 

过 程 区 中 的 许多 典型 工作 产品 可 作为 证 据 或 证 据 的 一 部 分 。 现 代 统计 过 程控 制 理论 
表明 ,如 果 注 重 产品 的 生产 过 程 , 则 可 用 较 低 的 成 本 重复 地 生产 出 较 高 质量 和 有 安全 保证 
的 产品 。 工 程 组 织 实施 活动 的 成 熟 能 力 将 会 对 这 个 过 程 产生 影响 和 提供 帮助 。 


3.2.3 SSE-CMM 的 主要 概念 


在 描述 系统 安全 工程 能 力 成 熟 度 模型 体系 结构 之 前 , 先 介 绍 一 些 该 模型 中 最 主要 也 
是 最 重要 的 术语 以 及 它们 在 该 模型 中 的 含义 。 

1. 组 织 和 项 目 

组 织 和 项 目 这 两 个 术语 在 SSE-CMM 中 使 用 的 目的 在 于 区 分 组 织 结构 的 不 同方 面 。 
其 他 结构 的 术语 如 “项 目 组 ”也 存在 于 商务 实体 中 ,但 缺乏 在 所 有 商务 组 织 共 同 可 接受 的 
术语 。 之 所 以 选择 这 两 个 术语 ,是 由 于 大 多 数 期 望 使 用 SSE-CMM 的 人 们 都 在 使 用 并 理 
解 它们 。 
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组 织 就 SSE-CMM 而 言 , 被 定义 为 : 公司 内 部 的 单位 、 整 个 公司 或 其 他 实体 (如 政府 
机 构 或 服务 分 支 机 构 )。 在 组 织 中 存在 许多 项 目 并 作为 一 个 整体 加 以 管理 ,组 织 内 的 所 有 
项 目 一 般 遵 循 上 层 管理 的 公共 策略 ,一 个 组 织 机 构 可 能 由 同一 地 方 分 布 的 或 地 理 上 分 布 
的 项 目 与 支持 基础 设施 所 组 成 。 

术语 “组 织 ” 的 使 用 意味 着 一 个 支持 共同 战略 、 商 务 和 过 程 相 关 功 能 的 基础 设施 。 为 
了 产品 的 生产 交付、 支持 及 营销 活动 的 有 效 性 ,必须 存在 一 个 基础 设施 并 对 其 加 以 维护 。 

项 目 是 各 种 实施 活动 和 资源 的 总 和 ,这 些 实施 活动 和 资源 用 于 开发 或 维护 一 个 特定 
的 产品 或 提供 一 种 服务 。 产 品 可 能 包括 硬件 、 软 件 及 其 他 部 件 。 一 个 项 目 往往 有 自己 的 
资金 .成 本 账目 和 交付 时 间 表 。 为 了 生产 产品 或 提供 服务 ,一 个 项 目 可 以 组 成 自己 专门 的 
组 织 ,或 由 组 织 建立 成 一 个 项 目 组 .特别 工作 组 或 其 他 实体 。 

在 SSE-CMM 的 域 中 ,过 程 区 划分 为 工程 .项 目 和 组 织 三 类 。 组 织 类 与 项 目 类 的 区 
分 是 基于 典型 的 所 有 权 。SSE-CMM 的 项 目 是 针对 一 个 特定 的 产品 ,而 组 织 结构 拥有 一 
个 或 多 个 项 目 。 

2. 系统 

在 SSE-CMM 中 ,系统 是 指 提供 某 种 能 力 用 以 满足 一 种 需要 或 目标 的 人 员 产品、. 服 
务 和 过 程 的 综合 。 

事物 或 部 件 的 汇集 形成 了 一 个 复杂 或 单一 整体 ( 即 一 个 用 来 完成 一 个 特定 或 一 组 功 
能 组 件 的 集合 ) 。 功 能 相关 的 元 素 相互 组 合 。 

一 个 系统 可 以 是 一 个 硬件 产品 、 硬 软件 组 合 产品 .软件 产品 或 是 一 种 服务 。 在 整个 模 
型 中 ,术语 “系统 ”的 使 用 是 指 需要 提交 给 顾客 或 用 户 产品 的 总 和 。 当 说 某 个 产品 是 一 个 
系统 时 ,意味 着 必须 以 规范 化 和 系统 化 的 方式 对 待产 品 的 所 有 组 成 元 素 及 接口 ,以 便 满 足 
商务 实体 开发 产品 的 成 本 .进度 及 性 能 (包括 安全 ) 的 整体 目标 。 

3. 工作 产品 

SSE-CMM 中 的 工作 产品 (Work Product) 是 指 在 执行 任何 过 程 中 产生 出 的 所 有 文 
档 、 报 告 .文件 .数据 等 。SSE-CMM 不 是 为 每 一 个 过 程 区 列 出 各 自 工作 产品 ,而 是 按 特 定 
的 基本 实施 列 出 其 “典型 的 工作 产品 ”, 其 目的 在 于 对 所 需 的 基本 实施 范围 做 进一步 定义 。 
列举 的 工作 产品 只 是 说 明 性 的 ,目的 在 于 反映 组 织 机 构 和 产品 的 范围 。 这 些 典 型 的 工作 
产品 不 是 “强制 ?的 产品 。 

4. 顾客 

顾客 是 为 其 提供 产品 开发 或 服务 的 个 人 或 实体 组 织 , 顾 客 也 包括 使 用 产品 和 服务 的 
个 人 和 实体 组 织 。SSE-CMM 涉及 的 顾客 可 以 是 经 商议 的 或 未 经 商议 的 。 经 商议 是 指 依 
据 合 同 来 开发 基于 顾客 规格 的 一 个 或 一 组 特定 的 产品 ;未 经 商议 是 指 市 场 驱动 的 , 即 市 场 
真正 的 或 潜在 的 需求 。 一 个 顾客 代理 如 面向 市 场 或 产品 代理 也 代表 一 种 顾客 。 

为 了 语法 上 表述 的 方便 ,SSE-CMM 在 大 多 数 场合 下 顾客 使 用 单数 。 然 而 , SSE- 
CMM 并 不 排除 多 个 顾客 的 情况 。 

注意 在 SSE-CMM 环境 中 ,使 用 产品 或 服务 的 个 人 或 实体 也 属于 顾客 的 范畴 。 这 是 
和 经 商议 的 顾客 相关 的 ,因为 获得 产品 和 服务 的 个 人 和 实体 并 不 总 是 使 用 这 些 产品 或 服 
务 的 个 人 或 实体 。SSE-CMM 中 术语 “顾客 ”的 概念 和 使 用 是 为 了 识别 安全 工程 功能 的 职 
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责 ,这 样 需要 包括 使 用 者 这 样 的 全 面 顾客 概念 。 

5. 过 程 

一 个 过 程 (Process) 是 指 为 了 达到 某 一 给 定 目 标 而 执行 的 一 系列 活动 ,这 些 活动 可 以 
重复 .递归 和 并 发 地 执行 。 有 的 活动 将 输入 工作 产品 转换 为 输出 工作 产品 提供 给 其 他 活 
动 。 输 入 工作 产品 和 资源 的 可 用 性 以 及 管理 控制 制约 着 允许 的 活动 执行 顺序 。 

从 “过 程 "派生 出 来 的 有 关 术 语 有 “充分 定义 的 过 程 “ 已 定义 过 程 " 和 "执行 过 程 ”。 

充分 定义 的 过 程 包 括 对 每 个 活动 的 定义 、 每 个 活动 输入 的 定义 和 控制 活动 执行 机 制 
的 定义 。 

已 定义 过 程 就 是 被 组 织 正式 描述 的 过 程 ,也 是 该 组 织 在 其 安全 工程 中 要 使 用 的 过 程 。 
这 个 描述 可 以 包含 在 文档 或 过 程 资产 库 中 。 

执行 过 程 是 安全 工程 师 们 实际 在 执行 中 的 过 程 , 它 指明 安全 工程 师 实际 在 做 什么 。 

6. 过 程 区 

一 个 过 程 区 (Process Area, PA) 是 一 组 相关 安全 工程 过 程 的 性 质 , 当 这 些 性 质 全 部 实 
施 后 则 能 够 达到 过 程 区 定义 的 目的 。 

一 个 过 程 区 由 基本 实施 (Base Practices,BP) 组 成 。 这 些 基 本 实施 是 安全 工程 过 程 中 
必须 存在 的 性 质 , 只 有 当 所 有 这 些 性 质 完全 实现 后 , 才 可 说 满足 了 这 个 过 程 区 规定 的 
目标 。 

SSE-CMM 包含 三 类 过 程 区 : 工程 ` 项 目 和 组 织 三 类 。 组 织 类 与 项 目 类 过 程 区 的 差 
别 仅仅 是 所 有 权 的 不 同 , 项 目 过 程 区 只 针对 一 个 特定 的 产品 ,而 组 织 过 程 区 则 含有 一 个 或 
多 个 项 目 。 

7. 角色 独立 性 

SSE-CMM 过 程 区 是 实施 活动 组 , 当 把 它们 结合 在 一 起 时 ,会 达到 一 个 共同 目的 。 但 
实施 组 合 的 概念 并 不 意味 着 一 个 过 程 的 所 有 基本 实施 必须 由 一 个 个 体 或 角色 来 完成 。 所 
有 的 基本 实施 均 以 动 - 宾 格 式 构 造 ( 即 没有 特定 的 主语 ) ,以 便 尽 可 能 减少 一 个 特定 的 基本 
活动 属于 一 个 特定 的 角色 的 理解 。 这 种 描述 方式 可 支持 模型 在 整个 组 织 环境 中 广泛 地 
应 用 。 

8. 过 程 能 力 

过 程 能 力 (Process Capability) 是 通过 跟踪 一 个 过 程 能 达到 期 望 结果 的 可 量化 范围 。 
SSE-CMM 评定 方法 (SSAM) 是 基于 统计 过 程控 制 的 概念 ,这 个 概念 定义 了 过 程 能 力 的 
应 用 。SSAM 可 用 于 项 目 或 组 织 内 每 个 过 程 区 能 力 级 别 的 确定 。SSE-CMM 的 能 力 维 为 
域 维 中 安全 工程 能 力 的 改进 提供 了 指南 。 

一 个 组 织 的 过 程 能 力 可 帮助 组 织 预 见 项 目 达 到 目标 的 能 力 。 位 于 低能 力 级 组 织 的 项 
目 在 达到 预定 的 成 本 、 进 度 、 功 能 和 质量 目标 上 会 有 很 大 的 变化 ,而 位 于 高 能 力 组 织 的 项 
目 则 完全 相反 。 

9. 制度 化 

制度 化 是 建立 方法 .实施 和 步骤 的 基础 设施 和 组 织 文化 。 即 使 最 初 定义 的 人 已 离开 ， 
制度 化 仍 会 存在 。SSE-CMM 的 过 程 能 力 维 通过 提供 实施 活动 .量化 管理 和 持续 改进 的 
途径 支持 制度 化 。 按 照 这 种 方式 ,SSE-CMM 声称 组 织 明 确 地 支持 过 程 定 义 、 管 理 和 改 
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进 。 制 度 化 提供 了 通过 完善 的 安全 工程 性 质 获得 最 大 益处 的 途径 。 

10. 过 程 管理 

过 程 管理 是 一 系列 用 于 预见 ,评价 和 控制 过 程 执行 的 活动 和 基础 设施 。 过 程 管 理 意 
味 着 过 程 已 定义 好 (因为 无 人 能 够 预见 或 控制 未 加 定义 的 东西 )。 注 重 过 程 管理 的 含义 是 
项 目 或 组 织 须 在 计划 、 执 行 、 评 价 、 监 控 和 校正 活动 中 既 考 虑 产品 相关 因素 ,也 要 考虑 过 程 
相关 因素 。 

11. 能 力 成 熟 模型 

一 个 像 SSE-CMM 这 样 的 能 力 成 熟 模型 (CMM) , 当 过 程 定义 、 实 现 和 改进 时 ,描述 
了 过 程 进步 的 阶段 。CMM 模型 通过 确定 当前 特定 过 程 的 能 力 和 在 一 个 特定 域 中 识别 出 
最 关键 的 质量 和 过 程 改 进 问 题 , 来 指导 选择 过 程 改进 策略 。 一 个 CMM 可 以 以 参考 模型 
的 形式 来 指导 开发 和 改进 成 熟 的 和 已 定义 的 过 程 。 

一 个 CMM 也 可 用 来 评定 已 定义 的 过 程 的 存在 性 和 制度 化 ,该 过 程 执行 了 相关 实施 。 
一 个 能 力 成 熟 模型 覆盖 了 所 有 用 以 执行 特定 域 ( 如 安全 工程 ) 任 务 的 过 程 。 一 个 CMM 也 
可 用 以 覆盖 确保 有 效 的 开发 和 人 力 资源 使 用 的 过 程 ,以 及 产品 及 工具 引入 适当 的 技术 来 
加 以 生产 的 过 程 。 


3.3 SSE-CMM 的 体系 结构 


SSE-CMM 体系 结构 的 设计 可 在 整个 安全 工程 范围 内 决定 安全 工程 组 织 的 成 熟 性 。 
这 个 体系 结构 的 目标 是 清晰 地 从 管理 和 制度 化 特征 中 分 离 出 安全 工程 的 基本 特征 。 为 了 
保证 这 种 分 离 ,该 模型 采用 二 维 设计 ,其 中 的 一 维 被 称 为 “ 域 (Domain)”, 而 另 一 维 被 称 为 
“能 力 (Capability)”。 

值得 指出 的 是 ,SSE-CMM 并 不 意味 着 在 一 个 组 织 中 的 任何 项 目 组 或 角色 必须 执行 
这 个 模型 中 所 描述 的 任何 过 程 , 也 不 要 求 使 用 最 新 的 和 最 好 的 安全 工程 技术 和 方法 论 。 
然而 ,这 个 模型 要 求 一 个 组 织 要 有 一 个 适当 过 程 ,这 个 过 程 应 包括 这 个 模型 中 所 描述 的 基 
本 安全 实施 。 组 织 可 以 任何 方式 创建 符合 他 们 业务 目标 的 过 程 以 及 组 织 结 构 。 

SSE-CMM 也 并 不 意味 着 执行 通用 实施 的 专门 要 求 。 一 个 组 织 一 般 可 随意 以 他 们 所 
选择 的 方式 和 次 序 来 计划 .跟踪 .定义 .控制 和 改进 其 过 程 。 然 而 ,由 于 一 些 较 高 级 别 的 通 
用 实施 依赖 于 较 低 级 别 的 通用 实施 ,因此 组 织 在 试图 达到 较 高 级 别 之 前 ,应 首先 实现 较 低 
级 别 通 用 实施 。 


3.3.1 基本 模型 


域 维 或 许 是 两 个 维 中 较 容易 理解 的 ,这 一 维 仅 仅 是 汇集 了 定义 安全 工程 的 所 有 实施 
活动 ,这 些 实施 活动 称 为 过程 区 ”。 

能 力 维 代表 组 织 能 力 ,这 一 维 由 过 程 管理 和 制度 化 能 力 构成 。 这 些 实施 活动 被 称 作 
“公共 特性 ”, 可 在 广泛 的 域 中 应 用 。 执 行 一 个 公共 特性 是 一 个 组 织 能 力 的 标志 。 

通过 设置 这 两 个 相互 依赖 的 维 ,SSE-CMM 在 各 个 能 力 级 别 上 覆盖 了 整个 安全 活动 
范围 。 














Ne/ 信息 安全 工程 


例如 ,在 图 3-7 中 ,“ 评 估 脆 弱 性 ”过 程 区 (PA05) 显 示 在 横 坐 标 中 , 它 代表 了 所 有 涉及 
安全 脆弱 性 评估 的 实施 活动 。 这 些 实施 活动 是 安全 风险 过 程 的 一 部 分 。“ 跟 踪 执 行 " 公 共 
特性 显示 在 纵 坐 标 上 ,代表 了 一 组 涉及 测量 的 实施 活动 。 这 些 测量 相对 于 可 用 计划 的 过 































































































程 实施 活动 。 
4 
地 公共 特性 24 跟踪 执 行 
记忆 天下 
叙 
= 
营 
EN PA05: 评 估 脆 弱 性 
二 
域 维 /安全 过 程 区 


图 3-7 执行 每 一 个 过 程 区 的 组 织 能 力 模型 


因此 安全 过 程 区 和 公共 特性 的 交叉 点 表示 组 织 跟踪 执行 脆弱 性 评估 过 程 的 能 力 。 图 
中 每 一 个 方 框 表示 一 个 组 织 执行 一 些 安全 工程 过 程 的 能 力 。 
通过 按 这 个 方式 收集 安全 组 织 的 信息 ,可 建立 执行 安全 工程 能 力 的 能 力 轮廓 。 


3.3.2 域 维 /安全 过 程 区 


SSE-CMM 包括 6 个 基本 实施 ,这 些 基本 实施 被 组 织 成 11 个 安全 工程 过 程 区 ,这 些 
过 程 区 覆盖 了 安全 工程 所 有 主要 领域 。 安 全 过 程 区 的 设计 是 为 了 满足 安全 工程 组 织 广泛 
的 需求 。 划 分 安全 工程 过 程 区 的 方法 有 许多 种 ,典型 的 做 法 之 一 就 是 将 实际 的 安全 工程 
服务 模型 化 , 即 原型 法 ,以 此 创建 与 安全 工程 服务 相 一 致 的 过 程 区 。 其 他 的 方法 可 以 是 识 
别 概念 域 , 它 们 将 识别 的 这 些 域 形 成 相应 的 基本 安全 工程 构件 模块 。SSE-CMM 当前 的 
过 程 区 集合 是 这 些 执行 目标 竞争 比较 的 折 中 。 

每 一 个 过 程 区 包括 一 组 表示 组 织 成 功 执行 过 程 区 的 目标 。 每 一 个 过 程 区 也 包括 一 组 
集成 的 基本 实施 (Base Practice,BP)。 基 本 实施 定义 了 获得 过 程 区 目标 的 必要 步骤 。 一 
个 过 程 区 : 
汇集 一 个 域 中 的 相关 活动 .以 便于 使 用 ; 

是 有 关 有 价值 的 安全 工程 服务 ; 

可 在 整个 组 织 生命 期 中 应 用 ; 

能 在 多 个 组 织 和 多 个 产品 范围 内 实现 ; 
能 作为 一 个 独立 过 程 进 行 改进 ; 

能 够 由 类 似 过 程 兴趣 组 进行 改进 ; 
包括 所 有 需要 满足 过 程 区 目标 的 BP。 

由 于 一 些 本 质 相同 的 活动 有 不 同 的 名 字 , 因 此 识别 安全 工程 的 BP 变 得 很 复杂 。 一 
些 识别 BP 的 活动 是 在 生命 期 后 期 进行 的 ,在 不 同 抽象 层次 或 由 不 同 角色 的 个 人 来 执行 。 
SSE-CMM 忽略 这 些 差别 ,只 是 识别 基本 的 、 好 的 安全 工程 所 需要 的 实施 集 。 
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因此 ,如 果 一 个 组 织 仅仅 在 设计 阶段 或 在 单一 抽象 层 上 工作 , 则 不 执行 BP。 
基本 实施 的 特性 包括 : 

。 应 用 于 整个 企业 生命 期 ; 

。 和 其 他 BP 互相 不 覆盖 ; 

代表 安全 业界 “最 好 的 实施 ”; 

不 是 简单 地 反映 当前 技术 ; 

可 在 业务 环境 下 以 多 种 方法 使 用 ; 

。 不 指定 特定 的 方法 或 工具 。 

1. 安全 工程 过 程 

安全 工程 过 程 是 信息 安全 服务 能 力 最 核心 的 部 分 ,体现 了 一 个 服务 提供 组 织 的 技术 
水 平和 信息 安全 工程 的 实力 。SSE-CMM 共有 11 个 安全 工程 过 程 。 

(1) 管理 安全 控制 。 其 目的 在 于 保证 集成 到 系统 设计 中 预期 的 系统 安全 性 确实 由 最 
终 系统 在 运行 状态 下 达到 。 包 括 四 个 方面 : 明确 安全 职责 、 管 理 安全 配置 .管理 培训 教 
材 、 管 理 安全 服务 及 控制 机 制 。 

(2) 评估 影响 。 目 的 在 于 识别 对 系统 有 关 的 影响 ,并 对 发 生 影响 的 可 能 性 进行 评估 。 
影响 可 能 是 有 形 的 ,也 可 能 是 无 形 的 。 应 对 影响 系统 的 因素 进行 优先 级 排序 并 实时 监控 
影响 的 变化 。 

(3) 评估 安全 风险 。 识 别 某 一 给 定 环境 中 涉及 对 某 一 系统 有 依赖 关系 的 安全 风险 ， 
评估 暴露 的 风险 ,对 风险 进行 优先 级 排序 并 监视 风险 的 变化 特征 。 

(4) 评估 威胁 。 目 的 是 对 系统 安全 的 威胁 和 特征 进行 识别 并 标识 ,评估 威胁 的 影响 ， 
并 监视 威胁 的 特征 变化 。 

SSE-CMM 将 安全 工程 的 公共 特征 分 为 五 个 能 力 级 别 , 表 示 依 次 递增 的 组 织 能 力 。 

(5) 评估 脆弱 性 。 本 过 程 首先 要 识别 脆弱 性 ,收集 相关 证 据 , 然 后 评估 各 种 脆弱 性 对 
系统 的 影响 ,进而 监视 脆弱 性 的 特征 变化 趋势 。 

(6) 建立 保证 论据 。 本 过 程 包括 确定 保证 目标 、 定 义 保 证 策略 .提供 保证 证 据 、 控 制 
保证 论据 等 多 个 方面 。 

(7) 协调 安全 。 目 的 在 于 保证 所 有 相关 方 都 有 参与 安全 工程 的 意识 。 这 种 协调 工作 
涉及 保证 所 有 相关 组 织 之 间 的 开放 式 交 流 和 沟通 。 

(8) 监视 安全 态势 。 目 的 在 于 识别 出 所 有 已 发 生 和 可 能 发 生 的 安全 违规 ,监视 可 能 
影响 系统 安全 的 内 、 外 环境 因素 。 

(9) 提供 安全 输入 。 目 的 在 于 为 系统 的 策划 者 、 设 计 者 、 实 施 者 或 用 户 提 供 所 需 的 安 
全 信息 。 这 些 信息 包括 安全 体系 结构 安全 设计 和 安全 实施 多 个 方面 。 

(10) 指定 安全 要 求 。 目 的 在 于 明确 地 识别 出 与 系统 安全 相关 的 要 求 ,包括 顾客 的 要 
求法 律 法 规 的 要 求 等 ,并 最 终 达成 安全 协议 。 

(11) 验证 和 证 实 安全 性 。 目 的 在 于 确保 解决 安全 问题 的 办 法 已 得 到 验证 和 证 实 。 
应 该 确定 目标 .选择 方法 .收集 证 据 、 执 行 验证 并 得 到 结论 。 

SSE-CMM 还 包括 11 个 与 项 目 和 组 织 实施 有 关 的 过 程 区 ,这 些 过 程 区 是 从 SE-CMM 
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修改 过 来 的 。 项 目 和 组 织 管理 过 程 是 实现 安全 工程 过 程 必 不 可 少 的 保证 措施 。 

2. 项 目 和 组 织 管理 过 程 

(1) 质量 保证 。 它 不 仅 指 工作 产品 的 质量 ,而 且 也 包含 系统 工程 过 程 的 质量 。 应 确 
保全 员 参 与 并 及 时 采取 纠正 措施 和 预防 措施 。 

(2) 管理 配置 。 目 的 是 维持 已 确定 的 配置 单元 的 数据 和 状况 ,并 对 系统 及 其 配置 单 
元 的 变化 进行 分 析 和 控制 。 管 理 系统 配置 包括 为 开发 者 和 客户 提供 准确 的 和 当前 的 配置 
数据 和 状况 。 

(3) 管理 项 目 风险 。 管 理 项 目 风险 的 目的 是 标识 .评估 、 监 视 和 降低 风险 。 此 过 程 要 
贯穿 整个 工程 生命 周期 ,其 范围 包括 系统 工程 活动 和 全 部 技术 项 目 活动 。 

(4) 监控 技术 活动 。 此 过 程 将 根据 项 目 策划 、 承 诺 和 计划 的 文档 来 指导 、 跟 踪 和 复查 
项 目的 完成 情况 、 结 果 和 风险 ,必要 时 采取 适当 的 修正 行为 。 

(5) 规划 技术 活动 。 目 的 是 根据 项 目 特点 建立 项 目 实施 计划 ,这 些 计 划 能 为 组 织 开 
展 技术 活动 提供 指导 和 参考 。 

(6) 定义 系统 工程 过 程 。 目 的 是 创建 和 管理 组 织 的 标准 系统 工程 过 程 ,这 些 过 程 允 
许 根据 具体 系统 工程 情况 做 出 适当 的 裁减 。 

(7) 改进 系统 工程 过 程 。 在 特定 的 工程 环境 下 ,根据 组 织 对 过 程 的 理解 确定 改进 目 
标 并 付 诸 实施 。 

(8) 产品 持续 改进 。 目 的 是 通过 引进 服务 .设备 和 新 技术 以 达到 产品 费用、 进度 和 
执行 的 最 佳 收益 。 

(9) 管理 系统 工程 支持 环境 。 目 的 是 为 开发 产品 和 执行 过 程 提 供 所 需 的 技术 环境 。 
该 环境 可 裁减 .可 维护 .可 更 新 .可 监视 .可 改进 。 

(10) 提供 不 断 发 展 的 技能 和 知识 。 目 的 在 于 确保 组 织 内 拥有 必要 的 知识 和 技能 来 
达到 组 织 的 目标 。 此 过 程 可 以 通过 在 组 织 内 进行 培训 ,也 可 以 及 时 地 从 外 部 来 源 中 获得 
知识 实现 。 

(11) 与 供应 商 协 调 。 目 的 是 识别 组 织 的 需求 ,并 采取 适当 的 措施 评价 ,选择 合格 的 
供应 商 。 供 应 商 可 以 是 销售 商 , 分 包 商 ,合伙 人 等 。 协 调 的 内 容 可 以 是 交付 件 的 质量 、 期 
限 等 其 他 合同 要 求 。 


3.3.3 能力 维 /公共 特性 


通用 实施 (Generic Practices ,GP) 由 被 称 为 “公共 特性 ”的 逻辑 域 组 成 ,公共 特性 分 为 
五 个 级 别 , 依 次 表示 增强 的 组 织 能 力 。 

与 域 维 基本 实施 不 同 的 是 ,能 力 维 的 通用 实施 按 其 成 熟 性 排序 ,因此 高 级 别 的 通 上 
施 位 于 能 力 维 的 高 端 。 

公共 特性 设计 的 目的 是 描述 在 执行 工作 过 程 (此 处 即 为 安全 工程 域 ) 中 组 织 特征 方 
式 的 主要 变化 。 每 一 个 公共 特性 包括 一 个 或 多 个 通用 实施 。 通 用 实施 可 应 用 到 每 一 个 过 
程 区 (SSE-CMM 应 用 范畴 ) ,但 第 一 个 公共 特性 “执行 基本 实施 ”例外 。 

其 余 公 共 特 性 中 的 通用 实施 可 帮助 确定 项 目 管理 好 坏 的 程度 .并 可 将 每 一 个 过 程 区 
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作为 一 个 整体 加 以 改进 。 通 用 实施 按 执行 安全 工程 的 组 织 特征 方式 分 组 ,以 突出 主要 点 。 
下 面 的 公共 特性 表示 了 为 取得 每 一 个 级 别 需 满足 的 成 熟 的 安全 工程 特性 。 
。 执行 基本 实施 ; 

规划 执行 ; 

规范 化 执行 ; 

确认 执行 

跟踪 执行 ; 

定义 标准 过 程 ; 

执行 定义 的 过 程 ; 

协调 过 程 ; 

建立 可 测量 的 质量 目标 ; 

客观 地 管理 执行 ; 

改进 组 织 范围 能 力 ; 

改进 过 程 有 效 性 。 


3.3.4 能 力 级 别 


将 通用 实施 划分 为 公共 特性 ,将 公共 特性 划分 为 能 力 级 别 有 多 种 方法 。 下 面 讨论 涉 
及 的 这 些 公共 特性 。 

公共 特性 的 排序 得 益 于 对 现 有 其 他 安全 实施 的 实现 和 制度 化 ,特别 是 当 实 施 活动 有 
效 建立 时 尤其 如 此 。 在 一 个 组 织 能 够 明确 地 定义 、 裁 前 和 有 效 使 用 一 个 过 程 前 ,单独 执行 
的 项 目 应 该 获得 一 些 过 程 执行 方面 的 管理 经 验 。 例 如 ,一 个 组 织 应 首先 尝试 对 一 个 项 目 
规模 评估 过 程 后 ,再 将 其 规定 为 这 个 组 织 的 过 程 规范 。 有时, 当 把 过 程 的 实施 和 制度 化 放 
在 一 起 考虑 可 以 增强 能 力 时 , 则 无 须要 求 严 格 地 进行 前 后 排序 。 

公共 特性 和 能 力 级 别 无 论 在 评估 一 个 组 织 过 程 能 力 还 是 改进 组 织 过 程 能 力 时 ,都 是 
重要 的 。 当 评估 一 个 组 织 能 力 时 ,如 果 这 个 组 织 只 执行 了 一 个 特定 级 别 的 一 个 特定 过 程 
的 部 分 公共 特性 , 则 这 个 组 织 对 这 个 过 程 而 言 , 处 于 这 个 级 别 的 最 底层 。 例 如 ,在 2 级 能 
力 上 ,如 果 缺 乏 跟 踪 执行 公共 特性 的 经 验 和 能 力 , 那 么 跟踪 项 目的 执行 将 会 很 困难 。 如 果 
高 级 别 的 公共 特性 在 一 个 组 织 中 实施 ,但 其 低级 别 的 公共 特性 未 能 实施 , 则 这 个 组 织 不 能 
获得 该 级 别 的 所 有 能 力 带 来 的 好 处 。 评 估 组 织 在 评估 一 个 组 织 个 别 过 程 能 力 时 ,应 对 这 
种 情况 加 以 考虑 。 

当 一 个 组 织 希 望 改 进 某 个 特定 过 程 能 力 时 ,能 力 级 别 的 实施 活动 可 为 实施 改进 的 组 
织 提供 一 个 “能 力 改进 路 线 图 ”"”。 基 于 这 一 理由 .SSE-CMM 的 实施 按 公 共 特 性 进行 组 织 ， 
并 按 级 别 进行 排序 。 

对 每 一 个 过 程 区 能 力 级 别 的 确定 , 均 须 执行 一 次 评估 过 程 。 这 意味 着 不 同 的 过 程 区 
能 够 或 可 能 存在 不 同 的 能 力 级 别 上 。 组 织 可 利用 这 个 面向 过 程 的 信息 ,作为 侧重 于 这 些 
过 程 改 进 的 手段 。 组 织 改进 过 程 活动 的 顺序 和 优先 级 应 在 业务 目标 里 加 以 考虑 。 

业务 目标 表明 如 何 使 用 SSE-CMM 模型 的 主要 驱动 力 , 但 是 ,对 典型 的 改进 活动 也 
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存在 着 基本 活动 次 序 和 基本 的 原则 。 这 个 活动 次 序 在 SSE-CMM 结构 中 通过 公共 特性 
和 能 力 级 别 加 以 定义 。 
能 力 识别 代表 工程 组 织 的 成 熟 度 级 别 如 图 3-8 所 示 , 其 中 ,SSE-CMM 包含 了 5 个 




















级 别 。 
1 2 4 本 
非 正规 。 规划 与 充分 量化 持续 
le 定义 级 控制 级 改进 级 
执行 基本 实施 | 规划 加 入 | 定义 标准 化 过 程 。 | 建立 可 测度 的 质量 目标 “| 改进 组 织 能 力 
验证 执行 ”| 执行 已 定义 的 过 程 
跟踪 执行 “| 协调 安全 实施 。。 | 对 执行 情况 实施 客观 管理 | 改进 过 程 的 效能 
图 3-8 能力 级 别 代表 安全 工程 组 织 的 成 熟 度 级 别 
1 级 : 非 正规 实施 级 


这 个 级 别 着 重 于 一 个 组 织 或 项 目 只 是 执行 了 忆 全 车 让 这 半 的 这 得。 这 个 级 别 的 能 力 
特点 可 以 描述 为 :“ 必 须 首 先 做 它 , 然 后 才能 管理 它 

2 级 : 规划 和 跟踪 级 

这 个 级 别 着 重 于 项 目 层面 的 定义 、 规 划 和 执行 问题 。 这 个 级 别 的 能 力 特点 可 描述 为 : 
“在 定义 组 织 层面 的 过 程 之 前 , 先 要 弄 清 楚 与 项 目 相关 的 事项 。” 

3 级 : 充分 定义 级 

这 个 级 别 着 重 于 规范 化 地 裁剪 组 织 层面 的 过 程 定义 。 这 个 级 别 的 能 力 特 点 可 描述 
为 :“ 用 项 目 中 学 到 的 最 好 的 东西 来 定义 组 织 层面 的 过 程 。” 

4 级 : 量化 控制 级 

这 个 级 别 着 重 于 测量 。 测 量 是 与 组 织 业务 目标 紧密 联系 在 一 起 的 。 尽 管 在 以 前 的 级 
别 上 ,也 把 数据 收集 和 采用 项 目测 量 作为 基本 活动 ,但 只 有 到 达 高 级 别 时 ,数据 才能 在 组 
织 层 面 上 被 应 用 。 这 个 级 别 的 能 力 特 点 可 以 描述 为 : “只 有 知道 它 是 什么 ,才能 测量 它 ” 
和 “ 当 被 测量 的 对 象 正 确 时 ,基于 测量 的 管理 才 有 意义 ”。 

5 级 : 持续 改进 级 

这 个 级 别 从 前 面 各 级 的 所 有 管理 活动 中 获得 发 展 的 力量 ,并 通过 加 强 组 织 的 文明 保 
持 这 种 力量 。 这 一 方法 强调 文明 的 转变 ,这 种 转变 又 将 使 方法 更 有 效 。 这 个 级 别 的 特点 
可 以 描述 为 :“ 持 续 性 改进 的 文明 需要 以 完备 的 管理 实施 .已 定义 的 过 程 和 可 测量 的 目标 
作为 基础 。” 


3.3.5 体系 结构 的 组 成 


上 节 已 经 简单 地 介绍 了 域 维和 能 力 维 中 的 实施 活动 ,现在 来 描述 它们 怎么 组 成 模型 
体系 结构 以 及 能 力 轮 廓 。 

体系 结构 的 横 坐 标 为 过 程 区 ( 即 域 维 ) 、 纵 坐标 为 能 力 级 别 ( 即 能 力 维 ) ,这 是 一 个 平 
面 坐标 系 , 如 图 3-9 所 示 。 
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3-9 体系 结构 图 


图 3-9 右 下 角 小 图 为 某 个 组 织 的 能 力 轮 廓 。 这 个 小 图 中 纵 坐 标 体现 了 能 力 的 5 个 级 
别 , 横 坐标 中 包含 了 10 个 过 程 区 。 这 个 能 力 轮 廓 说 明了 这 个 组 织 的 能 力 并 不 成 熟 , 它 有 
4 个 过 程 区 只 有 1 级 ,PA03 过 程 区 根本 没有 实施 ,过 程 区 中 执行 较 好 的 只 有 PA02、PA04 
和 PA08 ,为 能 力 级 别 3。 


3.4 SSE-CMM 应 用 


3.4.1 SSE-CMM 应 用 方式 


SSE-CMM 提供 了 一 套 业界 范围 内 (包括 政府 及 工业 ) 的 标准 度量 体系 ,其 目的 在 于 
建立 和 促进 安全 工程 成 为 一 种 成 熟 的 、 可 度量 的 科目 。SSE-CMM 模型 及 评定 方法 确保 
了 安全 是 处 理 硬件 、 软 件 、 系 统 和 组 织 安全 问题 的 工程 实施 活动 后 得 到 的 一 个 完整 结果 。 
该 模型 定义 了 一 个 安全 工程 过 程 应 有 的 特征 。 这 个 安全 工程 对 于 任何 工程 活动 均 是 清晰 
定义 的 、 可 管理 的 .可 测量 的 .可 控制 的 并 且 有 效 的 。 

1. SSE-CMM 适用 范围 

有 各 类 组 织 从事 安 全 工程 的 人 员 , 其 中 包括 产品 开发 者 的 人 员 ,服务 提供 者 的 人 员 ， 
系统 集成 者 的 人 员 ,系统 管理 者 ,直至 安全 专家 。 其 中 部 分 组 织 处 理 高 层 问题 (如 与 处 理 
运行 使 用 或 系统 体系 结构 有 关 的 问题 ) ,部 分 组 织 处 理 底层 问题 (如 机 制 选择 和 设计 ) ,还 
有 一 部 分 组 织 涉 及 这 两 个 层面 。 某 些 组 织 可 能 专长 于 某 些 特殊 技术 或 某 些 特殊 环境 (如 
在 海上 ) 。 

SSE-CMM 的 设计 可 用 于 所 有 这 些 组 织 。 采 用 SSE-CMM 并 不 意味 着 侧重 其 中 某 一 
个 方面 ,也 不 意味 着 SSE-CMM 所 有 方面 都 需 采 用 。 组 织 的 商务 侧重 点 不 必 由 于 使 
SSE-CMM 而 发 生 偏离 。 

根据 组 织 关注 的 焦点 ,可 采用 部 分 而 不 是 全 部 的 已 定义 安全 工程 实施 过 程 。 此 外 ,组 
织 可 能 会 需要 了 解 不 同 实施 的 关系 来 确定 实施 过 程 的 适用 性 。 
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下 面 举例 说 明 SSE-CMM 实施 活动 如 何 应 用 于 具有 不 同业 务 焦点 的 组 织 或 团体 。 

1) 裁剪 SSE-CMM 

SSE-CMM 模型 所 定义 的 元 素 均 被 认为 是 安全 工程 实施 的 本 质 要 素 。 但 是 ,并 非 所 
有 项 目 或 组 织 都 需要 实施 SSE-CMM 的 所 有 过 程 区 。 因 此 ,对 于 特定 项 目 应 该 使 用 裁剪 
过 程 以 去 除 组 织 安全 工程 过 程 中 不 必要 的 过 程 区 。 

使 用 任何 参考 模型 的 任何 过 程 改进 均 应 支持 商务 目标 ,而 不 是 指导 商务 目标 。 使 
SSE-CMM 的 组 织 应 根据 商务 目标 来 划分 过 程 区 实施 的 优先 顺序 ,并 首先 致力 于 改进 最 
高 优先 级 的 过 程 区 。 

需要 注意 的 是 ,裁剪 是 在 过 程 区 的 层面 上 执行 的 。 为 了 达到 一 个 过 程 区 的 目标 ,使 
把 所 有 的 基本 实施 都 放 在 适当 的 位 置 的 指导 思想 来 撰写 工程 区 。 

2) 安全 服务 提供 者 

为 测量 一 个 组 织 从 事 风险 评估 的 过 程 能 力 ,会 涉及 多 个 组 参与 活动 。 在 系统 开发 或 
集成 期 间 ,需要 评估 该 组 织 决定 与 分 析 安 全 脆弱 性 的 能 力 , 并 且 评 估 运 行 的 影响 。 在 这 种 
运行 情况 下 ,评估 组 织 对 系统 安全 态势 监控 的 能 力 ,识别 并 分 析 安 全 脆弱 性 ,并 评估 运行 
的 影响 。 

3) 防范 措施 开发 者 

在 一 个 组 以 开发 防范 措施 为 主 的 情况 下 ,组 织 的 过 程 能 力 使 用 SSE-CMM 的 实施 组 
合 来 特征 化 。 该 模型 包含 的 实施 活动 有 决定 和 分 析 安 全 脆弱 性 、 评 估 操 作 影 响 和 为 其 他 
组 织 ( 如 软件 组 织 ) 提 供 输入 和 指南 。 提 供 开 发 防范 措施 的 服务 组 织 需要 理解 上 述 实 施 间 
的 关系 。 

4) 产品 开发 者 

SSE-CMM 包括 致力 于 获得 顾客 安全 要 求 的 了 解 的 实施 。 这 些 安全 要 求 须 通过 与 用 
户 的 交互 来 确定 。 当 产品 的 开发 独立 于 特定 顾客 时 (顾客 是 泛 指 的 ) ,如 果 需 要 ,产品 的 市 
场 部 或 其 他 部 门 可 以 作为 假设 的 顾客 。 安 全 工程 的 实施 者 认识 到 产品 开发 的 环境 和 方法 
如 同 产品 本 身 一 样 是 可 变化 的 。 然 而 ,已 知 一 些 关 于 产品 和 项 目 环境 的 问题 会 影响 到 产 
品 的 构想 .生产 .交付 和 维护 。 

5) 特殊 的 工业 部 门 

每 个 工业 都 有 自身 特殊 的 文化 .术语 和 交流 模式 ,为 减少 角色 相关 性 和 组 织 结构 的 影 
响 ,SSE-CMM 期 望 能 容易 地 将 其 概念 转化 为 所 有 工业 部 门 自身 的 语言 和 文化 。 

2. 使 用 SSE-CMM 进行 评定 

SSE-CMM 支持 范围 广泛 的 改进 活动 ,包括 自身 管理 评定 ,或 由 从 内 部 、 外 部 组 织 的 
专家 进行 的 更 强 要 求 的 内 部 评定 。 虽 然 SSE-CMM 主要 用 于 内 部 过 程 改 进 , 但 也 可 用 于 
评价 潜在 销售 商 从 事 安全 工程 过 程 的 能 力 。 

1) SSE-CMM 评定 大 纲 

SSE-CMM 的 开发 是 基于 如 下 考虑 的 , 即 安全 性 通常 在 系统 工程 相关 环境 (如 大 的 系 
统 集成 者 ) 中 实施 ,也 认识 到 安全 工程 服务 提供 者 可 以 将 安全 工程 作为 独立 的 活动 来 实 
施 , 该 活动 与 一 个 独立 的 系统 或 软件 (或 其 他 ) 工 程 活动 协调 ,因此 可 识别 出 下 述评 定 
大 纲 : 
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。 系统 工程 能 力 评定 后 ,SSE-CMM 评定 可 和 集中 于 组 织 的 安全 工程 过 程 ; 
。 通过 与 系统 工程 能 力 评定 的 结合 ,SSE-CMM 评定 可 被 裁剪 以 与 SE-CMM 集成 ; 
。 当 执 行 独立 的 系统 工程 能 力 评定 时 ,SSE-CMM 的 评定 应 从 高 于 安全 性 的 角度 考 
虑 是 否 存在 支持 安全 工程 的 过 程 项 目 和 组 织 基础 。 

2) SSE-CMM 评定 方法 (SSAM) 

在 SSE-CMM 评定 中 ,并 不 要 求 使 用 任何 特殊 的 评定 方法 。 然 而 为 了 在 评定 过 程 中 
最 大 限度 地 发 挥 SSE-CMM 模型 的 功效 , SSE-CMM 项 目 设 计 了 一 个 评定 方法 。SSE- 
CMM 评定 方法 (SSAM) 和 进行 评定 的 一 些 支持 材料 在 “SSE-CMM 评定 方法 描述 "文件 
中 有 全 面 的 描述 。 这 份 文档 列举 了 评定 方法 的 基本 前 提 , 以 提供 有 关 如 何 将 该 模型 用 于 
评定 的 背景 范围 。 

SSAM 是 组 织 层面 或 项 目 层面 的 评定 方法 。 该 方法 的 特征 是 采用 多 重 数据 收集 方 
法 ,从 选择 组 织 机 构 或 选择 作为 评定 的 项 目 中 获取 过 程 实施 方面 的 信息 。SSAM 第 一 
发 布 版 本 中 的 确定 目的 为 : 

。 收集 组 织 或 项 目 内 与 安全 工程 相关 实际 实施 的 基线 或 基准 

。 创建 或 支持 组 织 结构 的 多 层次 改进 动力 。 

SSAM 可 被 剪裁 以 适用 于 组 织 或 项 目 需要 。SSAM 描述 文档 中 提供 了 一 些 剪裁 方 
面 的 指南 。 

数据 收集 由 三 方面 组 成 : 四 直接 反映 模型 的 内 容 问卷 ; @ 一 系列 有 组 织 或 随机 的 与 
涉及 过 程 实施 的 关键 人 员 的 会 谈 ; @ 审 阅 生成 的 安全 工程 的 证 据 。 涉 及 人 员 无 须 正式 任 
命 为 “安全 工程 师 ”,SSE-CMM 并 不 要 求 此 角色 。SSE-CMM 应 用 于 具有 安全 工程 活动 
执行 责任 的 人 员 。 

多 重 反馈 会 议 由 评定 参与 者 召开 ,最终 是 向 所 有 参与 者 和 发 起 人 通报 情况 。 简 报 包 
括 被 评定 的 不 同 过 程 区 的 能 力 级 别 ,也 包括 以 强 弱 划 分 优先 级 的 集合 ,以 支持 基于 组 织 评 
定 目标 的 过 程 改 进 。 

3) 决定 实施 安全 工程 过 程 的 能 力 

图 3-10 中 说 明 过 程 区 (基本 实施 ) 和 公共 特征 〈 基 本 实施 ) 如 何 用 于 决定 安全 工程 过 
程 的 过 程 能 力 。 对 每 个 过 程 区 ,可 确定 能 力 级 别 0 一 5。 

4) 为 评定 定义 安全 工程 相关 性 

评估 一 个 组 织 机 构 的 第 一 步 是 决定 该 组 织 安全 工程 实施 环境 。 安 全 工程 可 在 任何 工 
程 环境 下 实施 ,尤其 是 系统 .软件 和 通信 工程 等 环境 。SSE-CMM 期 望 适用 于 所 有 环境 。 
环境 的 确定 是 为 了 决定 : 哪个 过 程 区 适用 于 这 个 组 织 ; 加 怎样 解释 过 程 区 (如 开发 相 
对 于 运行 环境 ); @ 哪 个 人 员 需 要 参与 评定 。 

注意 ,SSE-CMM 不 意味 独立 安全 工程 组 织 的 存在 ,其 目的 在 于 针对 组 织 中 负责 执行 
安全 工程 任务 的 人 。 

5) 在 评定 中 使 用 结构 的 两 个 方面 
建立 一 个 组 织 从 事 安全 工程 过 程 轮廓 的 第 一 步 是 通过 他 们 的 执行 过 程 , 确 定 在 组 织 
内 是 否 实现 了 基本 安全 工程 过 程 ( 所 有 基本 实施 )。 第 二 步 是 按照 通用 实施 ,考察 基本 实 
施 ,以 评估 所 实现 过 程 的 管理 和 制度 化 (基本 实践 ) 情 况 。 通 过 考虑 基本 实施 和 通用 实施 ， 
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图 3-10 确定 过 程 能 力 


可 产生 过 程 能 力 轮廓 , 它 能 够 帮助 组 织 决 定 适 用 于 其 商务 目的 最 有 效 的 过 程 改进 活动 。 
- 般 而 言 , 评 定 由 针对 通用 实施 的 每 一 个 过 程 区 评价 组 织 , 基 本 实施 应 被 视 为 提出 主 
题 基本 方面 的 指南 ,相关 的 通用 实施 将 基本 实施 应 用 于 项 目 , 牢 记 对 每 个 过 程 区 通用 实施 
的 应 用 将 产生 对 主体 过 程 区 的 唯一 解释 。 
6) 序列 
在 项 目 生命 期 执行 组 织 过 程 时 ,许多 过 程 区 将 多 次 被 使 用 。 当 需要 把 一 个 过 程 区 的 
目的 结合 到 项 目 或 组 织 的 过 程 中 时 ,就 实施 而 言 过 程 区 应 视 为 一 个 源 。 在 评定 中 ,总 是 记 
住 SSE-CMM 不 意味 着 一 个 序列 ,序列 应 根据 组 织 或 项 目 所 选择 的 生命 期 和 其 他 商务 参 
数 决 定 。 
SSE-CMM 模型 和 使 用 的 方法 ( 即 评定 方法 ) 建 议 如 下 : 
。 作为 工程 组 织 的 工具 ,用 于 评价 安全 工程 实施 活动 ,并 定义 它们 的 改进 。 
。 作为 顾客 评价 一 个 供应 商 的 安全 工程 能 力 的 标准 机 制 。 
。 作为 安全 工程 评价 机 构 ( 如 系统 认证 机 构 、 产 品评 定 机 构 等 ) 的 工作 基础 ,用 于 建 
立 基于 整体 组 织 能 力 的 信任 度 ( 这 个 信任 度 可 作为 系统 或 产品 的 一 个 安全 保证 
要 素 ) 。 
如 果 这 个 模型 及 其 评定 方法 的 使 用 者 能 够 完全 理解 模型 的 适用 范围 和 它 固有 的 局 限 
性 ,那么 这 个 评定 技术 就 可 以 适用 于 自我 改进 和 选择 供应 商 。 


3.4.2 用 SSE-CMM 改进 过 程 


1. 改进 过 程 

首先 是 分 析 组 织 环境 ,组 织 在 第 一 次 定义 过 程 时 经 常 忽视 许多 内 部 的 过 程 或 产品 中 
间 的 过 程 或 产品 。 不 过 ,对 于 一 个 组 织 在 第 一 次 定义 安全 工程 过 程 时 并 不 需要 考虑 所 有 
的 可 能 性 。 一 个 组 织 应 通过 适当 的 精确 性 来 将 当前 的 过 程 状态 确定 为 基线 。 基 线 建立 的 
过 程 最 好 在 六 个 月 到 一 年 之 间 , 随 着 时 间 该 过 程 可 以 得 到 改进 。 

组 织 必 须 有 一 个 稳定 的 基线 用 以 决定 未 来 的 变化 是 否 包括 过 程 的 改进 ,对 于 不 实际 
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实现 的 过 程 改 进 是 没有 意义 的 。 在 基线 过 程 中 包含 当前 的 “延迟 "和 “队列 "是 有 用 的 ,在 
随后 的 过 程 改 进 中 ,这些 是 缩短 周期 的 良好 开端 。 

安全 工程 组 织 可 以 由 工程 师 职责 作为 着 眼 点 来 定义 过 程 。 这 可 能 包括 与 系统 工程 、 
软件 工程 、 硬 件 工程 及 其 他 科目 的 接口 。 

设计 符合 组 织 商务 要 求 过 程 的 第 一 步 , 是 理解 当 过 程 实现 时 须 考虑 的 商务 .产品 和 组 
织 环境 。 在 使 用 SSE-CMM 设计 过 程 以 前 ,需要 回答 的 问题 是 : 安全 工程 如 何在 组 织 中 
实施 ?使 用 什么 样 的 生命 期 作为 过 程 框架 ? 如 何 设立 组 织 中 的 机 构 来 支持 项 目 ? 如 何 控 
制 支持 功能 (如 由 项 目 或 由 组 织 )? 组 织 中 谁 是 管理 者 , 谁 是 实施 者 ?过 程 对 组 织 的 成 功 
起 着 怎样 的 关键 性 作用 ? 

显然 ,理解 SSE-CMM 被 应 用 的 文化 和 商务 环境 ,是 成 功 进行 过 程 设计 的 关键 。 

然后 是 增加 角色 和 结构 信息 ,图 3-11 说 明了 设计 一 个 可 实行 和 可 支持 的 过 程 ,需要 
对 SSE-CMM 过 程 区 和 公共 属性 的 添加 因素 。 为 了 创建 完善 的 、 将 来 可 合理 改进 的 组 织 
层面 过 程 ,需要 考虑 组 织 机 构 的 环境 因素 。 这 些 因 素 包 括 角 色 定 义 、 组 织 结构 、 安 全 工程 
工作 产品 以 及 在 SSE-CMM 通用 实施 和 基本 实施 指南 下 定义 的 生命 期 。 

组 织 机 构 的 环境 因素 SSE-CMM 指 导 


十 十 


十 











3-11 成 功 的 过 程 设计 因素 


过 程 是 为 了 一 个 指定 的 目标 而 执行 的 一 个 步骤 序列 。 它 是 任务 ,支持 工具 ,涉及 产品 
和 某 些 最 终结 果 ( 如 产品 系统) 更 新 的 有 关 人 员 组 成 的 系统 。 由 于 认识 到 过 程 是 产品 成 
本 、 进 度 和 质量 的 决定 性 因素 之 一 (其 他 决定 因素 为 人 员 和 技术 ) ,因此 各 种 各 样 的 工程 组 
织 开始 关注 改进 它们 生产 产品 过 程 的 途径 。 

(1) 过 程 能 力 涉及 一 个 组 织 的 潜在 能 力 。 它 是 一 个 组 织 能 达到 的 能 力 范围 。 过 程 性 
能 是 项 目 实际 结果 的 测量 ,但 对 于 一 个 特定 的 项 目测 量 结果 ,有 可 能 落 入 或 不 落 入 到 这 个 
范围 内 。 以 下 是 摘自 W. Edwards Deming( 走 出 危机 ) 一 书 的 例子 ,这 个 例子 说 明了 这 些 
论点 :“ 在 一 个 制造 工厂 ,一 个 经 理 观 察 到 一 个 产品 生产 线 的 问题 。 他 知道 生产 线 上 的 人 
员 制 造 了 大 量 有 缺陷 的 零件 。 他 的 第 一 个 做 法 可 以 是 请 求 工人 更 快 更 努力 地 工作 ,但 他 
的 另 一 个 选择 是 收集 数据 并 绘制 次 品 比例 图 。 图 表 显 示 每 天 的 次 品 数 量 及 变化 是 可 预知 
的 .” 这 个 例子 表明 一 个 系统 是 处 于 统计 过 程 的 控制 中 。 也 就 是 说 ,一 个 特定 的 范围 定义 
了 能 力 , 而 且 变化 的 限度 是 可 预知 的 ,存在 一 种 稳定 生产 有 缺陷 产品 的 系统 。 这 个 例子 表 
明 一 个 处 于 统计 过 程控 制 的 系统 并 不 意味 着 次 品 的 消失 ,然而 , 它 意味 着 以 差不多 同样 的 
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方式 重复 工作 会 产生 差不多 同样 的 结果 。 一 个 重要 观点 是 ,需要 建立 一 个 过 程 的 统计 控 
制 以 确定 在 哪 方面 可 以 进行 对 缺陷 的 改进 。 许 多 组 织 已 经 使 用 各 种 CMM 作为 帮助 他 们 
实现 统计 过 程控 制 的 指南 。 

(2) 过 程 成 熟 性 表明 一 个 特定 过 程 被 清晰 定义 管理 测量、 控制 的 程度 及 有 效 性 。 
过 程 成 熟 性 意味 着 能 力 增长 潜力 ,并 表明 一 个 组 织 过 程 的 丰富 以 及 在 整个 组 织 应 用 的 一 
致 性 。 在 《刻画 软件 过 程 : 一 个 成 熟 性 框架 ) 一 书 中 ,Watts Humphrey 描述 了 一 个 软件 过 
程 成 熟 性 框架 ,此 框架 解释 了 如 何 将 Deming 的 工作 成 果 应 用 到 软件 开发 过 程 中 。 
Humphrey 认为 : “虽然 有 一 些 重要 差异 ,这 些 适用 于 汽车 、 照 相机 、 和 手表 及 钢铁 业 的 概念 
也 同样 适用 于 软件 。 一 个 在 统计 控制 下 的 软件 开发 过 程 将 在 预期 成 本 、 进 度 及 质量 范围 
内 ,产生 期 望 的 结果 。”Humphrey 把 统计 过 程控 制 的 概念 应 用 到 软件 过 程 ,他 描绘 了 过 程 
成 熟 性 的 级 别 ,这 些 级 别 指导 组 织 以 小 的 ` 渐 增 的 步骤 来 改进 他 们 的 过 程 能 力 。 这 些 级 
别 构成 了 对 SEI( 软 件 工 程 研究 所 )CMM 的 基础 。CMM 是 一 个 框架 , 它 用 于 将 一 个 工 
程 组 织 从 一 个 特定 的 、 组 织 不 善 . 效 率 不 高 的 状态 ,进化 成 高 度 结构 化 且 高 效 的 状态 。 
使 用 这 样 一 种 模型 是 一 个 组 织 将 他 们 的 活动 制约 于 统计 过 程控 制 下 的 手段 ,其 目的 在 
于 提高 他 们 的 过 程 能 力 。 通 过 使 用 软件 的 CMM, 许 多 软件 组 织 都 在 成 本 、 生 产 力 、 进 
度 以 及 质量 上 显示 了 良好 的 结果 。SSE-CMM 的 开发 也 是 基于 这 样 的 期 望 , 即 在 安全 
工程 中 使 用 统计 过 程控 制 概念 以 促进 在 预期 的 成 本 、 进 度 及 质量 范围 内 开发 出 安全 系 
统 和 可 信和 产品 。 

2. 期 望 结 果 

基于 对 软件 与 其 他 行业 的 对 比 ,过 程 和 产品 改进 的 一 些 结果 是 可 预见 的 。 具 体 分 析 
如 下 : 

1) 改进 可 预见 性 

随 着 组 织 的 成 熟 ,第 一 个 可 期 待 的 改进 是 可 预见 性 。 随 着 能 力 的 提高 ,项目 目标 与 实 
际 结果 之 间 的 差异 将 会 减少 。 例 如 ,处 于 1 级 的 组 织 通常 会 很 大 程度 地 延误 他 们 项 目 原 
始 计划 的 交付 日 期 ,而 当 组 织 处 于 较 高 能 力 级 别 时 , 它 应 能 够 以 较 高 的 精确 度 预 见 项 目 成 
本 和 进度 的 结果 。 

2) 改进 可 控制 性 

随 着 组 织 的 成 熟 , 第 二 个 可 期 待 的 改进 是 可 控制 性 。 随 着 过 程 能 力 的 提高 ,增加 的 结 
果 将 被 用 于 建立 更 准确 的 修订 目标 。 对 不 同 的 修正 活动 的 评估 可 基于 当前 过 程 经 验 和 其 
他 项 目 过 程 结果 ,以 便 选择 最 好 的 控制 测量 应 用 。 因 此 ,具有 高 能 力 级 别 的 组 织 将 在 可 接 
受 的 范围 内 ,更 有 效 地 控制 性 能 。 

3) 改进 过 程 有 效 性 

随 着 组 织 的 成 熟 ,第 三 个 可 期 待 的 改进 是 过 程 有 效 性 。 目 标 结果 随 着 组 织 成 熟 性 的 
提高 而 改进 。 随 着 组 织 逐 渐 成 熟 ,产品 开发 成 本 降低 ,开发 时 间 缩 短 ,生产 率 和 质量 提高 。 
低级 组 织 由 于 有 大 量 为 纠正 错误 而 重 做 的 工作 ,因此 开发 时 间 会 变 长 。 相 反 , 较 高 成 熟 级 
别 的 组 织 通过 增加 过 程 的 有 效 性 和 减少 昂贵 的 重复 工作 ,可 缩短 整个 开发 时 间 。 

3. 常见 误解 

下 面 列举 一 些 常 见 的 使 用 CMM 模型 的 错误 观点 。 
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1) CMM 定义 了 工程 过 程 


一 个 通常 的 错误 概念 是 CMM 只 定义 了 一 个 特殊 的 过 程 。 而 实际 上 CMM 对 于 组 织 
机 构 而 言 是 一 个 如 何 定 义 的 过 程 ,是 如 何 随 着 时 间 不 断 改进 所 定义 的 过 程 的 指南 。 无 论 
执行 什么 特殊 的 过 程 都 可 使 用 这 个 指南 。 对 于 过 程 定义 、 过 程 管 理 监 控 及 组 织 机 构 的 过 
程 改 进 ,CMM 给 出 了 什么 活动 是 必须 执行 的 ,而 不 是 精确 地 指定 这 些 特定 的 活动 应 如 何 
执行 。 

面向 特定 科目 CMM( 如 SSE-CMM) 要 求 执行 某 些 基本 的 过 程 活动 。 这 些 基 本 的 过 
程 活动 是 科目 中 一 个 部 分 ,但 这 些 模 型 并 不 精确 地 指定 这 些 工 程 活动 应 如 何 执行 。 

CMM 内 在 基本 哲学 思想 是 让 工程 组 织 开 发 改进 对 他 们 最 有 效 的 工程 过 程 。 这 基 
于 一 种 能 力 , 即 在 整个 组 织 内 定义 .文档 化 .管理 和 标准 化 这 些 工 程 过 程 。 这 个 哲学 思想 
并 不 注重 任何 特定 的 开发 生命 期 .组 织 结构 或 工程 技术 。 

2) CMM 是 手册 或 培训 指南 

CMM 目的 在 于 为 组 织 机 构 改进 他 们 所 执行 的 特定 过 程 能 力 ( 如 安全 工程 ) 提 供 一 个 
指南 ,而 不 是 用 来 帮助 个 人 改进 他 们 特定 的 工程 技巧 的 手册 或 培训 指南 。CMM 的 目标 
是 通过 采纳 CMM 中 描述 的 思想 和 使 用 CMM 中 定义 的 技术 指南 ,来 达到 组 织 机 构 对 工 
程 过程 的 定义 和 改进 。 

3) SSE-CMM 是 产品 评价 的 替代 

用 CMM 来 评价 组 织 级 别 来 代替 产品 的 评估 或 系统 认证 是 不 太 可 能 的 。 但 是 ,CMM 
模型 无 疑 能 够 采取 由 第 三 方 对 CMM 评价 认为 脆弱 的 方面 进行 分 析 。 在 统计 过 程控 制 下 
的 过 程 并 不 意味 着 没有 缺陷 ,而 是 缺陷 是 可 预见 的 。 因 此 ,抽取 一 些 产 品 作为 样本 进行 分 
析 仍 是 必要 的 。 

任何 期 望 通过 使 用 SSE-CMM 而 获 益 , 都 是 基于 使 用 软件 SEE-CMM 经 验 的 理解 。 
为 了 能 使 得 SSE-CMM 起 到 评价 与 认证 的 作用 ,安全 工程 业界 需要 就 安全 工程 中 成 熟 性 
的 含义 达成 共识 。 如 同 软件 的 SEI CMM, 当 SSE-CMM 在 业界 继续 使 用 时 ,评价 与 认证 
须 不 断 地 研究 。 

4) 需要 太 多 的 文档 

当 阅 读 一 种 CMM 时 ,很 容易 被 过 多 的 隐 含 过 程 及 计划 所 海 没 。CMM 模型 包括 要 
求 对 过 程 和 步骤 的 文档 化 并 要 求 保证 执行 文档 化 的 过 程 和 步 又。CMM 模型 要 求 一 些 过 
程 .计划 以 及 其 他 类 型 的 文档 ,但 它 并 没有 明确 要 求 文档 的 数量 或 文档 的 类 型 。 一 个 简单 
的 安全 计划 可 能 适合 许多 过 程 区 的 需要 。CMM 模型 仅仅 指明 必须 文档 化 的 信息 类 型 。 

4. 获得 安全 保证 

SSE-CMM 设计 用 于 衡量 和 帮助 提高 一 个 安全 工程 组 织 的 能 力 , 但 是 否 可 用 于 提高 
该 组 织 所 开发 的 系统 或 产品 的 安全 保证 呢 ? 

1) SSE-CMM 项 目 保 证 目标 

SSE-CMM 项 目 中 的 三 个 目标 相对 于 顾客 要 求 而 言 特别 重要 : 

。 为 将 顾客 安全 要 求 转 化 为 安全 工程 提供 可 测量 并 可 改进 的 方法 ,以 有 效 地 生产 出 

满足 顾客 要 求 的 产品 ; 
。 为 不 需要 正式 安全 保证 的 顾客 提供 了 一 个 可 选择 的 方法 。 正 式 安全 保证 一 般 通 
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过 全 面 的 评价 .认证 和 认可 活动 来 实现 ; 

。 为 顾客 获得 其 安全 要 求 被 充分 满足 的 信心 提供 一 个 标准 。 

对 顾客 的 安全 功能 和 安全 保证 要 求 的 精确 记录 、 理 解 并 转化 为 系统 的 安全 和 安全 保 
证 需求 至 关 重 要 。 一旦 生产 出 最 终 产品 ,用 户 必须 能 够 检验 其 是 否 反映 和 满足 了 他 们 的 
要 求 。SSE-CMM 特别 包括 实现 这 些 目标 的 过 程 。 

2) 过 程 证 据 的 角色 

不 成 熟 的 组 织 可 能 会 生产 出 高 安全 保证 的 产品 ,一 个 非常 成 熟 的 组 织 可 能 由 于 市 场 
不 支持 高 成 本 的 高 安全 保证 产品 而 决定 生产 低 安全 保证 的 产品 。 

无 法 依据 广泛 多 样 的 关于 产品 或 系统 满足 顾客 的 安全 要 求 的 声明 和 证 据 而 为 安全 工 
程 提供 保证 。 组 织 的 SSE-CMM 表示 产品 或 系统 的 生命 期 遵循 特定 的 过 程 ,这 种 “过 程 
证 据 " 可 被 用 于 证 明 产品 的 可 信和 度 。 

某 些 类 型 的 证 据 较 另 一 些 证 据 可 更 清晰 地 建立 它们 支持 的 声明 。 与 其 他 类 型 的 证 据 
相 比 较 时 ,过 程 证 据 常 常 作 为 支持 性 的 和 间接 的 和 角色。 但 是 ,过 程 证 据 可 作为 广泛 和 多 样 
论据 ,因而 其 重要 性 不 可 低估 。 进 一 步 说 ,一 些 传统 形式 的 证 据 和 这 些 证 据 支持 的 声明 之 
间 的 关系 也 并 非 如 其 所 说 的 那样 有 力 ,关键 在 于 为 产品 和 系统 建立 一 个 综合 的 论据 体系 ， 
以 确信 为 什么 这 些 产 品 和 系统 是 充分 可 信和 的 。 

至 少 ,成 熟 组 织 更 可 能 在 同等 时 间 和 资金 的 条 件 下 ,生产 出 适当 安全 保证 程度 的 产 
品 。 成 熟 组 织 也 更 可 能 更 早 地 识别 安全 问题 ,避免 在 发 现 问题 后 的 实际 解决 方案 不 切实 
际 时 ,牺牲 安全 保证 要 求 ,将 安全 需求 同 其 他 需求 一 样 看 待 ,可 使 作为 组 织 过 程 整体 部 分 
来 执行 的 可 能 性 大 大 增加 。 


3.4.3 使 用 SSE-CMM 的 一 般 步骤 


任何 一 个 过 程 改 进 的 启动 都 需要 一 个 系统 的 方法 以 理解 组 织 内 这 些 过 程 的 角色 。 
SSE-CMM 模型 提供 了 一 个 框架 ,通过 该 框架 可 以 理解 安全 的 重要 性 和 不 断 改进 安全 相 
关 的 过 程 。 下 面 的 几 个 步骤 是 作为 SSE-CMM 的 “用 户 指南 ”来 设计 的 , 它 提供 一 个 结构 
化 的 方法 给 感 兴趣 的 任何 组 织 的 组 成 部 分 或 实施 安全 工程 的 某 些 方面 。 这 几 个 步骤 概述 
如 下 : 

过 程 自身 的 改进 和 过 程 改 进 的 本 身 是 一 个 持续 的 生命 期 策略 ,这 个 生命 期 由 五 个 主 
要 的 阶段 构成 。 这 五 个 阶段 包括 : 识别 承诺、 分析、 待 补充 .实现 和 再 评价 。 此 外 ,支持 
性 管理 成 分 贯穿 于 所 有 各 个 阶段 。 

1. 启动 

任何 过 程 改进 活动 的 第 一 步 是 明白 为 什么 要 这 样 做 。 在 安全 工程 情况 下 ,促进 因素 
可 能 是 来 自 于 潜在 客户 对 安全 过 程 能 力 的 具体 级 别 的 要 求 , 可 能 是 顾客 需要 安全 产品 能 
够 反映 和 满足 他 们 要 求 的 保证 ,也 可 能 仅仅 是 安全 工程 师 厌 恶 在 最 后 时 刻 要 求 其 将 安全 
引入 已 存在 的 产品 而 不 是 将 这 项 工作 作为 整个 开发 生命 期 的 一 个 整体 部 分 ,或 者 还 有 大 
量 的 其 他 原因 。 无论 哪 种 情况 .按照 安全 要 求 正确 地 理解 检查 过 程 的 目的 ,对 任何 开发 或 
改进 都 是 至 关 重 要 的 。 














第 3 章 ”系统 安全 工程 能 力 成 熟 度 模型 





实施 启动 的 商务 环境 越 复杂 ,要 求 过 程 作为 一 个 整体 的 承诺 越 强烈 。 如 果 商 务 目 标 
或 利益 能 与 安全 过 程 的 开发 或 改进 会 相 结 合 , 则 管理 层 对 改进 会 有 更 大 的 支持 。 正 如 以 
前 所 述 , 管 理 在 过 程 的 检查 和 实施 中 将 起 到 核心 的 作用 。 特 别 在 这 个 模型 中 ,管理 在 启动 
阶段 的 支持 将 为 整个 过 程 改进 活动 确定 基调 。 

在 第 一 阶段 活动 安排 和 管理 安排 确立 后 ,组 织 必须 配置 一 个 机 构 来 管理 应 用 SSE- 
CMM 模型 的 复杂 问题 。 该 机 制 的 规模 、 结 构 和 状况 的 特殊 性 将 依 特定 组 织 的 需求 不 同 
而 不 同 ,但 这 个 机 构 要 负责 文档 化 工作 并 负责 明确 改进 所 期 待 的 目标 。 

第 一 阶段 是 开发 /改进 生命 期 后 面 阶段 的 基础 。 如 果 不 执行 这 个 阶段 , 则 很 可 能 忽略 
一 些 重要 问题 从 而 导致 该 模型 无 效 或 不 当 的 使 用 。 

2. 诊断 

过 程 改进 (包括 从 没有 过 程 到 创建 过 程 ) 基 于 组 织 当 前 状况 和 对 所 期 望 的 结果 的 理 
解 。 为 了 进行 改进 活动 ,需要 对 当前 状况 做 某 种 形式 的 分 析 。 通 过 系统 安全 工程 可 感觉 
到 应 用 SSE-CMM 模型 或 者 评定 是 获得 SSE-CMM 项 目的 最 佳 方法 。 虽 然 没 有 为 SSE- 
CMM 的 评定 规定 特殊 方法 ,但 SSAM 是 一 种 由 “项目 * 开 发 出 的 最 有 效 的 模型 (SSE- 
CMM) 设 计 出 来 的 评定 方法 ,是 可 用 的 。 无 论 采 用 哪 种 方法 论 , 所 有 参与 者 都 应 该 熟悉 用 
于 获得 组 织 当 前 状态 的 过 程 。 

理解 组 织 所 处 的 安全 过 程 后 , 须 提出 如 何 改 进 的 建议 。 一 般 情况 下 ,这 将 由 一 个 小 组 
来 完成 ,这 个 小 组 成 员 具 备 关 于 安全 工程 、 安 全 分 析 和 实现 相关 的 专业 技能 、 知 识 和 经 验 。 
这 些 专家 的 建议 和 忠告 通常 对 管理 者 继续 改进 的 决策 起 很 大 的 作用 ,因而 对 人 员 选 择 应 
该 非常 小 心 并 且 考 虑 对 SSE-CMM 知识 的 掌握 和 熟悉 程度 。 

3. 评价 

分 析 阶 段 在 本 质 上 是 组 织 的 安全 过 程 的 基准 ,在 此 阶段 之 后 ,必须 对 所 推荐 的 改进 提 
出 接收 和 实现 的 计划 。 这 些 计划 必须 包括 设 定 优先 级 、 开 发 实现 方法 以 及 过 程 改 进 实现 
的 实际 计划 。 

设 定 优先 级 时 必须 考虑 资源 限制 (项 目 费 用 ) 、 各 种 提议 改进 之 间 的 内 部 依赖 性 (产品 
开发 初期 集成 安全 功能 可 能 导致 初始 版 本 的 延误 ) ,以 及 组 织 整体 商务 策略 的 关系 (顾客 
愿意 为 附加 的 安全 保证 费用 )。 设 定 优先 级 与 开发 步骤 或 实现 策略 也 是 相互 关联 的 。 

4. 应 用 

在 一 定 条 件 认 可 后 ,应 提出 详细 的 实现 计划 。 此 计划 包括 组 织 要 求 的 所 有 成 分 、 资 
源 、 任 务 .里 程 碑 等 。 

该 阶段 适当 的 管理 对 第 二 部 分 生命 期 是 关键 的 ,尤其 在 优先 级 设 定 和 方法 确定 方面 。 
管理 在 裁决 竞争 目标 和 组 织 内 部 门 处 于 最 好 的 位 置 。 同 样 , 由 于 管理 层 掌握 组 织 总 体 情 
况 , 因 此 可 对 商务 方向 不 同 的 变化 有 更 好 的 把 握 (例如 试图 完成 更 高 的 整体 级 别 与 巩固 配 
置 管理 ) 。 在 计划 阶段 ,过程 改进 生命 期 还 包括 分 配 完 成 计划 所 需要 的 资源 。 

在 实际 实现 阶段 ,改进 组 织 须 将 前 三 个 阶段 确立 的 改进 投入 实施 ,这 是 十 分 耗费 时 间 
和 资源 的 ,没有 良好 的 计划 和 有 力 的 管理 支持 是 不 可 能 完成 的 。 

在 这 个 阶段 点 ,特定 的 过 程 改 进 和 从 建议 到 实际 转换 开始 实施 。 这 是 新 旧 知 识 、 技 
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能 .工具 和 信息 的 结合 。 需 要 再 次 指出 的 是 ,与 管理 的 协调 以 确保 计划 的 解决 方案 与 整体 
商务 目标 结合 是 至 关 重 要 的 ,包括 具有 SSE-CMM 知识 的 专家 也 被 证 明 是 关键 的 。 

5. 学 习 

解决 方案 确定 后 ,必须 加 以 测试 。 当 新 的 或 不 同 的 过 程 产生 广泛 的 影响 时 ,缓慢 地 以 
有 组 织 的 方式 逐步 实施 方案 是 重要 的 。 组 织 机 构 应 意识 到 解决 方案 可 能 有 未 预料 到 的 影 
响 , 第 一 轮 的 方案 /过 程 理 论 上 可 以 解决 问题 ,但 可 能 在 实际 中 实现 时 不 能 够 完成 预想 的 
目标 ,因而 需要 调整 。 记 住 没有 “完美 "的 方案 ,但 有 可 接受 的 方案 。 仅 当 调 整 的 过 程 真正 
可 接受 后 才 可 应 用 于 到 整个 组 织 ,总 之 ,所 使 用 的 方法 论 不 仅 依赖 于 过 程 的 性 质 而 且 也 依 
赖 于 组 织 自身 的 性 质 。 

在 新 的 过 程 实现 之 后 或 旧 的 过 程 改进 之 后 ,组 织 应 该 将 改进 的 过 程 作为 整体 考察 ,并 
且 分 析 是 否 达 到 了 最 初 的 目标 ,代价 如 何 , 教 训 也 应 该 被 收集 ,分析 和 归档 ,以 备 将 来 的 过 
程 改进 实践 使 用 。 这 也 是 SSE-CMM 一 个 必需 的 步 又 。 

必须 强调 安全 工程 是 一 个 独特 的 科目 ,需要 独特 的 知识 ,技能 和 过 程 来 创建 一 个 专用 
于 安全 工程 的 CMM。 这 与 安全 工程 将 在 系统 工程 方式 下 进行 并 不 冲突 。 事 实 上 ,有 明 
确定 义 和 易 于 接受 的 活动 可 以 使 安全 工程 能 够 在 各 种 情况 下 更 有 效 地 加 以 实施 。 

现代 统计 过 程控 制 理论 表明 ,通过 强调 生产 过 程 的 高 质量 和 在 过 程 中 组 织 实施 的 成 
熟 性 可 以 低 成 本 地 生产 出 高 质量 产品 。 对 于 安全 系统 和 可 信 产 品 的 开发 ,如 果 增 加 所 需 
的 成 本 和 时 间 ,就 可 保证 更 有 效 的 过 程 。 安 全 系统 的 运行 与 维护 也 依赖 于 联系 相关 人 员 
和 技术 的 过 程 。 通 过 强调 所 使 用 过 程 的 质量 和 蕴涵 在 这 些 过 程 中 的 组 织 实施 的 成 熟 性 ， 
可 以 更 低 成 本 地 管理 这 些 相互 依赖 性 。 


3.5 系统 安全 工程 能 力 评估 


在 SSE-CMM 模型 描述 中 ,提供 了 相关 原理 ,体系 结构 的 全 面 描述 ,模型 的 高 层 综 
述 ,适当 运用 此 模型 的 建议 .包括 在 模型 中 的 实施 以 及 模型 的 属性 描述 ,还 包括 了 开发 该 
模型 的 需求 。SSE-CMM 评定 方法 部 分 描述 了 针对 SSE-CMM 来 评价 一 个 组 织 的 安全 工 
程 能 力 的 过 程 和 工具 。 

本 节 讨 论 系 统 安 全 工程 能 力 成 熟 度 模 型 评估 方法 (SSE-CMM Appraisal Method， 
SSAMD) ,介绍 指导 评估 所 需要 的 基本 知识 。SSAM 包括 指导 评估 按照 SSE-CMM 定义 组 
织 机 构 的 系统 安全 工程 过 程 能 力 成 熟 程度 所 需要 的 信息 和 说 明 。 


3.5.1 系统 安全 工程 能 力 评估 


1. 阶段 划分 

安全 评估 可 分 为 规划 (Planning)、 准 备 (Preparation)、 现 场 (On-site) 和 报告 
(Reporting) 4 个 阶段 。 每 个 阶段 由 多 个 步骤 组 成 ,而 且 必须 在 下 一 阶段 开始 之 前 实行 ， 
包括 目的 、 主 要 参与 者 持续 时 间 、 可 裁剪 的 参数 及 工作 结束 准则 。 图 3-12 列 出 了 安全 评 
估 的 4 个 阶段 以 及 每 个 阶段 包含 的 主要 步骤 。 评 估 过 程 的 各 个 阶段 如 表 3-1 所 示 。 
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准备 阶段 
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图 3-12 安全 评估 的 4 个 阶段 


表 3-1 评估 过 程 的 各 个 阶段 








规划 | 为 评估 实施 建立 框架 及 为 现场 阶段 做 后 勤 准备 
为 现场 活动 准备 各 评估 小 组 及 通过 调查 表 实施 数据 的 初步 采集 和 分 析 
探索 初步 数据 分 析 结 果 ,为 被 评 实体 的 专业 人 员 提 供 参 考 数据 采集 和 证 实 过 程 的 机 会 


对 在 此 前 三 个 阶段 中 采集 到 的 所 有 数据 进行 最 终 分析 , 并 将 调查 结果 呈送 发 起 者 









2. 安全 评估 的 结果 

安全 评估 的 主要 工作 成 果 是 调查 结果 简报 和 评估 报告 。 调 查 结果 简报 包括 评分 轮廓 
和 调查 结果 列表 。 评 分 轮廓 表明 机 构 每 一 个 PA 的 能 力 等 级 ;调查 结果 说 明 被 评 机 构 的 
强项 和 弱项 ,通常 它 是 为 发 起 者 而 开发 的 ,但 是 在 发 起 者 的 要 求 下 ,也 可 交 给 被 评估 的 组 
织 机 构 。 评 估 报 告 只 给 发 起 者 ,其 中 包括 有 关 每 个 调查 结果 的 附加 细节 ,以 及 发 起 者 所 需 
的 调查 结果 暗示 的 问题 。 此 外 ,应 按照 发 起 者 的 要 求 分 发 最 终 报告 。 

3. 评估 参与 者 的 角色 和 说 明 

与 评估 工作 有 关 的 组 织 为 评估 参与 者 (Participant) ,可 以 根据 所 起 的 作用 分 为 发 起 
者 (Sponsor) .评估 者 (Appraiser) 和 被 评 者 (Appraised) 三 种 类 型 。 每 一 个 组 织 在 确保 满 
足 评估 目标 中 都 将 担任 重要 角色 。 下 面 列 出 了 主要 参与 者 、 他 们 的 资格 和 在 评估 中 典型 
的 职责 。 注 意 一 个 组 织 内 的 每 个 个 体 都 可 以 履行 多 种 职能 。 

对 于 自我 评估 ,所 有 评估 参与 者 很 可 能 是 同一 实体 的 成 员 , 但 是 为 了 评估 的 目的 ,他 
们 要 像 来 自 三 个 独立 的 评估 组 织 机 构 那样 履行 职能 。 当 然 ,对 实施 自 评 感 兴趣 的 那些 组 
织 机 构 也 可 雇用 外 部 承办 人 来 帮助 他 们 。 
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1) 发 起 者 组 织 


发 起 者 组 织 


是 评估 过 程 的 发 起 人 ,负责 确定 评估 范围 和 目的 、 选 择 对 被 评 者 适用 的 项 


目 以 及 裁剪 SSE-CMM 以 满足 实际 需求 。 发 起 者 组 织 也 为 评估 者 组 织 实 施 评估 提供 资 


金 。 表 3-2 中 列 


出 了 发 起 者 组 织 的 角色 。 
表 3-2 发 起 者 组 织 的 角色 
主要 职责 资格 








有 能 力 支持 评估 
活动 


2) 评估 者 组 织 

评估 者 组 织 提供 实际 实施 评估 的 人 员 。 多 数 情况 下 ,评估 者 组 织 帮助 发 起 者 选择 合 
适 的 项 目 和 裁剪 SSE-CMM 以 满足 其 要 求 。 最 基本 的 要 求 是 被 挑选 来 实施 评估 的 人 员 
在 整个 过 程 中 保持 客观 对 被 评 组 织 没有 偏见 。 表 3-3 列 出 了 评估 者 组 织 的 角色 。 


协理 


证 据 保 管 人 


参与 评估 工作 的 
评估 小 组 所 有 评估 者 组 织 
的 成 员 


兼任 评估 小 组 的 
领导 工作 ;评估 小 
组 的 无 表决 权 
成 员 


表 3-3 评估 者 组 织 的 角色 


分 发 调查 表 ; 实 施 采访 ;分 析 数 | 具有 SSE-CMM 知识 ; 
据 和 证 据 ; 产 生 结果 和 评分 报告 | 具有 安全 评估 工作 经 验 


确保 评估 正确 地 进行 ;与 发 起 者 
组 织 (发 起 者 ) 协 调 各 项 活动 ; 制 
定 评估 进度 表 和 保证 评估 进度 


具有 SSE-CMM 专业 技能 ; 
具有 多 年 安全 评估 工作 经 验 


保持 对 一 系列 证 | 确定 请求 、 收 集 ,保护 及 处 理由 
据 的 监管 被 评 组 织 提供 的 证 据 


具有 很 强 的 配置 管理 技巧 





表决 成 员 评估 小 组 的 决策 人 


鉴别 和 分 析 数 据 和 事件 ;产生 调 | 具有 SSE-CMM 专业 技能 ; 
查 (finding) 和 评级 (rating) 报 告 | 具有 多 年 安全 评估 工作 经 验 





观察 员 





评估 小 组 的 无 表 | 协助 表决 成 员 和 协理 ;获得 使 用 | 具有 SSE-CMM 知识 ;具有 
决 权 的 成 员 SSAM 的 经 验 SSAM 知识 





3) 被 评 组 织 

被 评 组 织 就 是 接受 评估 的 实体 。 它 可 以 是 一 个 大 组 织 机 构 中 的 一 个 单位 ,也 可 以 是 
整个 组 织 机 构 本 身 。 究 竟 是 哪 一 种 ,通常 在 宣布 评估 要 求 时 由 发 起 者 决定 ,或 由 对 有 关 提 
议 进 行 投标 的 组 织 机 构 决 定 。 表 3-4 列 出 了 被 评 组 织 的 角色 。 

4) 人 力 需求 

表 3-5 为 一 次 评估 的 人 力 要 求 , 它 给 出 了 一 个 完整 评估 〈 即 用 于 三 个 项 目的 全 部 


SSE-CMM 过 程 





区 ) 对 人 力 资源 的 典型 需求 。 
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表 3-4 被 评 组 织 的 角色 








名 称 





说 明 主要 职责 





资 格 




























被 评 组 织 中 与 评估 工 | 参加 简要 报告 会 ,回答 采访 中 | 
开场 人 员 | 作 有 关 的 所 有 成 员 | 提问 人 

在 评估 过 程 中 协调 被 评 组 织 的 活 | 卫生 放下 有 全 全 区 衣 、 

现场 协调 员 | 联系 人 动 ;联系 评估 者 组 织 ( 工 作协 调 | 政 策 及 程序 方面 的 知识 

员 ) 与 发 起 者 组 织 (发 起 者 ) 可 能 的 话 , 是 作出 写 评 入 

成 果 密切 相关 决定 的 权威 

领导 层 人 表示 对 评估 的 支持 有 了 能力 迫 使 雇员 参与 评估 











领导 层 发 言 人 | 做 领导 层 的 发 言 人 “| 在 开幕 会 上 向 现场 人 员 致 秤 





完成 安全 ;评估 调查 表 ; 回答 采访 
中 的 提问 


回答 采访 中 的 提问 


工程 主管 负责 项 目 活动 和 人 员 








专业 人 员 项 目 队 伍 的 成 员 








被 评 组 织 的 领导 层 








对 一 个 已 批准 项 目的 安全 
工程 方面 的 疏漏 负 有 责任 
的 人 


直接 或 间接 ;支持 相关 项 目 











表 3-5 一 次 评估 的 人 力 要 求 

评估 角色 要 求 的 人 数 / 人 每 人 的 小 时 数 角色 总 小 时 数 
发 起 者 * 1 80 80 

协理 2 160 320 
表决 组 成 员 4 80 320 

观测 员 1 80 80 
现场 协调 员 1 100 100 

工程 主管 每 项 目 1 人 10 30 

专业 人 员 每 项 目 6 人 4 72 

总 计 30 N/A 1002 








* 发 起 者 的 人 力 要 求 应 视 其 在 规划 和 准备 评估 阶段 的 参与 程度 而 定 。 
4. 评估 类 型 

1) 为 获取 而 评估 

SSAM 的 制定 是 为 了 促进 由 第 三 方 实施 的 评估 ,但 也 包含 解 





释 自 评 方 法 的 指南 。 具 


体 的 评估 目的 将 随 评估 提出 人 或 发 起 者 的 需求 而 变化 ,这 些 目 的 将 影响 被 评 项 目的 选择 
和 评估 工作 成 果 所 表达 出 的 信息 ,取决 于 实施 第 三 方 评估 的 理由 ,包括 : 合同 考虑 的 资 
格 ;有 资格 的 卖方 的 独立 比较 分 析 ;为 监视 目的 对 现 有 卖方 进行 评价 ;保证 客户 的 需要 得 
到 理解 和 满足 :通过 了 解 供应 商 的 薄弱 环节 ,对 项 目 风险 实行 管理 。 


2) 为 自身 改善 而 评估 


为 自身 改善 而 实施 SSE-CMM 评估 ,使 组 织 能 够 洞察 自身 实施 安全 工程 的 能 力 。 一 
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般 来 说 ,为 自身 改善 实施 评估 的 目标 包括 : 获得 有 关 域 问题 的 理解 ;了 解 新 的 组 织 实施 的 
部 署 ;确定 组 织 的 总 体能 力 ;确定 过 程 改善 活动 的 进程 。 

虽然 评估 要 求 对 资源 有 实质 性 承诺 ,并 承担 给 不 可 避免 地 被 评 组 织带 来 的 一 定 程 度 
的 干扰 ,但 是 ,建立 一 个 好 的 基本 评估 理论 可 以 帮助 发 起 者 得 到 必要 的 合作 来 源 和 资源 保 
证 ,这 种 基本 理论 也 可 以 通过 划 定 适当 范围 和 规划 来 形成 有 效率 的 和 有 价值 的 评估 成 果 
的 基础 。 

SSE-CMM 过 程 区 和 能 力 等 级 的 选择 ,评估 最 终 期 限 、 报 告 结果 的 方式 和 评估 中 将 包 
含 的 项 目 都 会 受到 由 发 起 者 建立 的 目标 影响 。 例 如 ,如 果 一 次 评估 的 初步 目标 是 要 改善 
他 们 提供 保证 的 能 力 ,评估 也 许 会 把 重点 放 在 质量 和 证 物 的 完备 性 上 ,而 不 是 放 在 整个 过 
程 改 善 的 实施 上 。 

总 之 ,无 论 是 顾客 还 是 供应 商 , 都 对 改进 安全 产品 、 系 统 和 服务 的 开发 感 兴趣 。 安 全 
工程 领域 已 有 一 些 被 充分 接受 的 原则 ,但 目前 仍 缺 少 一 个 易于 理解 的 评估 安全 工程 实施 
的 框架 。SSE-CMM 正 是 这 样 一 个 框架 , 它 为 安全 工程 原则 的 应 用 提供 了 一 条 衡量 和 改 
进 的 途径 。 

3.5.2 SSE-CMM 实施 中 的 几 个 问题 


1. 评估 安全 风险 

评估 安全 风险 的 目的 在 于 识别 出 一 给 定 环境 中 涉及 的 对 某 一 系统 有 依赖 关系 的 安全 
风险 。 这 一 过 程 区 着 重 于 确定 一 些 风险 ,这些 风 险 基于 对 运行 能 力 和 可 用 资源 在 抗 威胁 
方面 脆弱 程度 的 已 有 理解 上 。 这 一 工作 特别 涉及 对 出 现 暴露 的 可 能 性 进行 识别 和 评估 。 
“暴露 "一 词 指 的 是 可 能 对 系统 造成 重大 伤害 的 威胁 脆弱 性 和 影响 的 组 合 。 在 系统 生命 
期 的 任何 时 候 都 可 进行 这 一 系列 活动 ,以 便 支持 在 一 已 知 环境 中 开发 .维护 和 和 运行 该 系统 
有 关 的 决策 。 也 就 是 : 

。 获得 对 在 一 给 定 环境 中 运行 该 系统 相关 的 安全 风险 的 理解 ; 

。 按照 给 定 的 方法 论 优 先 考虑 风险 问题 。 

安全 风险 多 为 将 会 出 现 不 希望 事件 的 影响 的 可 能 性 , 当 论 及 与 费用 和 进度 有 关 的 项 
目 风险 时 ,安全 风险 特别 涉及 对 一 系统 的 资产 和 能 力 的 影响 。 

风险 总 是 包括 一 种 依赖 于 某 一 特定 情况 而 变化 的 不 确定 因素 ,这 就 意味 着 安全 风险 
只 能 在 某 一 限度 内 被 预测 。 此 外 ,对 某 一 特定 风险 进行 的 评估 也 会 具有 相关 的 不 确定 性 ， 
例如 ,不 希望 事件 并 不 一 定 出 现 。 因 此 ,很 多 因素 都 具有 不 确定 性 ,例如 对 与 风险 有 关 的 
预测 的 准确 性 就 不 确定 :在 许多 情况 下 ,这些 不 确定 性 可 以 很 大 ,这 就 使 得 安全 的 规划 和 
调整 非常 困难 。 

可 以 降低 与 特定 情况 相关 的 不 确定 性 的 任何 措施 都 具有 相当 重要 性 ,鉴于 此 ,保证 是 
重要 的 ,因为 它 间接 地 降低 了 该 系统 的 风险 。 

由 本 过 程 区 产生 的 风险 信息 取决 于 来 自 PA01 的 威胁 信息 、 来 自 PA02 的 脆弱 性 信 
息 和 来 自 PA03 的 影响 信息 。 当 涉及 收集 威胁 .脆弱 性 和 影响 信息 的 活动 分 别 组 合成 单 
独 的 PA 时 ,它们 是 互相 依存 的 。 其 目标 在 于 寻找 认为 是 足够 危险 的 威胁 、 脆 弱 性 和 影响 
的 组 合 ,从 而 证 明 相 应 行动 的 合理 性 。 这 一 信息 形成 了 在 PA01 中 定义 安全 需要 的 基础 
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以 及 由 PA02 提供 的 安全 输入 。 


由 于 风险 环境 要 经 历 变 化 ,因此 必须 对 其 进行 定期 监视 ,以 保证 由 本 过 程 区 生成 的 风 
险 理 解 始终 得 以 维持 。 

实施 清单 包括 : 
BP. 03. 01 选择 用 于 分 析 、 评 估 和 比较 给 定 环境 中 系统 安全 风险 所 依据 的 方法 \ 技 
术 和 准则 ; 
。 BP. 03. 02 识别 威胁 /脆弱 性 /影响 三 组 合 (暴露 ) ; 
BP. 03. 03 评估 与 出 现 暴 露 相关 的 风险 ; 
。 BP. 03. 04 评估 与 该 暴露 风险 相关 的 总 体 不 确定 性 ; 
。 BP. 03. 05 排列 风险 的 优先 顺序 ; 
BP. 03. 06 监视 风险 频谱 及 其 特征 的 不 断 变 化 。 

2. 评估 威胁 

评估 威胁 过 程 区 的 目的 在 于 识别 安全 威胁 及 其 性 质 和 特征 ,也 就 是 对 系统 安全 的 威 
胁 进 行 标识 和 特征 化 。 

许多 方法 和 方法 论 可 用 于 进行 威胁 评估 ,确定 使 用 哪 一 种 方法 论 的 重要 考虑 因素 是 
该 方法 论 如 何 与 被 选 定 的 风险 评估 过 程 中 其 他 部 分 所 使 用 的 方法 论 进行 衔接 和 工作 。 

本 过 程 区 产生 的 威胁 信息 与 脆弱 性 信息 和 影响 信息 一 起 使 用 。 当 这 些 涉及 收集 威 
胁 、 脆 弱 性 和 影响 信息 的 工作 已 组 合成 单独 的 PA 时 ,它们 是 相互 依存 的 ,其 目的 在 于 寻 
找 被 认为 是 足够 危险 的 威胁 ,脆弱 性 和 影响 的 组 合 , 从 而 证 明 相应 行动 的 合理 性 。 因 此 ， 
搜索 威胁 就 根据 现 有 的 相应 脆弱 性 和 影响 进行 某 些 延 伸 。 

由 于 威胁 可 能 发 生变 化 ,因此 必须 定期 地 对 其 进行 监视 ,以 保证 由 本 过 程 区 所 产生 的 
安全 理解 始终 得 到 维持 。 

基本 实施 清单 包括 : 
识别 由 自然 因素 所 引起 的 适当 威胁 ; 
。 识别 由 人 为 因素 所 引起 的 适当 威胁 ,偶然 的 或 故意 的 ; 
。 识别 在 一 特定 环境 中 合适 的 测量 块 和 适用 范围 ; 
。 评估 由 人 为 因素 引起 的 威胁 影响 的 能 力 和 动机 ; 
评估 威胁 事件 出 现 的 可 能 性 ; 
监视 威胁 频谱 的 变化 以 及 威胁 特征 的 变化 。 

3. 评估 影响 

评估 影响 的 目的 在 于 识别 对 该 系统 有 关系 的 影响 ,并 对 发 生 影响 的 可 能 性 进行 评估 ， 
影响 可 能 是 有 形 的 ,例如 税收 或 财政 罚款 的 丢失 ,也 可 能 是 无 形 的 ,例如 声誉 和 信誉 的 损 
失 , 也 就 是 对 该 系统 风险 的 安全 影响 进行 标识 和 特征 化 。 

影响 是 意外 事件 的 后 果 ,对 系统 资产 产生 的 影响 ,可 由 故意 行为 或 偶然 原因 引起 。 这 
一 后 果 可 能 毁灭 某 些 资产 ,危及 该 系统 ,丧失 机 密 性 完整 性 ` 可 用 性 .可 记录 性 、 可 鉴别 性 
或 可 靠 性 。 间 接 后 果 可 以 包括 财政 损失 市 场 份额 或 公司 形象 的 损失 。 对 影响 是 被 允许 
在 意外 事件 的 结果 与 防止 这 些 意 外 事件 所 需 安 全 措施 费用 之 间 达 成 平衡 。 必 须 对 发 生意 
外 事件 的 频率 予以 考虑 ,特别 重要 的 是 ,即使 每 一 次 影响 引起 的 损失 并 不 大 ,但 长 期 积累 
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的 众多 意外 事件 的 影响 总 和 则 可 能 造成 严重 损失 。 影 响 的 评估 是 评估 风险 和 选择 安全 措 
施 的 要 素 。 

当 涉及 与 收集 威胁 脆弱 性 和 影响 信息 有 关 的 活动 被 综合 成 单个 PA 后 ,它们 是 相互 
依存 的 。 目 的 在 于 寻找 认为 是 有 足够 风险 的 威胁 ,脆弱 性 和 影响 的 组 合 , 以 证 明 新 采取 的 
措施 是 合理 的 。 因 此 ,对 影响 的 搜索 应 通过 现 有 相应 的 威胁 和 脆弱 性 进行 一 定 延 伸 。 

由 于 影响 要 经 历 变化 ,因此 必须 定期 进行 监视 ,以 保证 由 本 过 程 区 产生 的 理解 始终 得 
到 维持 。 

基本 实施 清单 包括 : 

。 BP. 02. 01 对 系统 操纵 的 运行 、 商 务 或 任务 的 影响 进行 识别 .分 析 和 优先 级 排列 ; 
BP. 02. 02 对 支持 系统 的 关键 性 运行 能 力 或 安全 目标 的 系统 资产 进行 识别 和 特 
征 化 ; 

BP. 02. 03 选择 用 于 评估 的 影响 度量 标准 ; 

。 BP. 02. 04 对 选择 的 用 于 评估 的 度量 标准 及 其 转换 因子 (如 有 要 求 ) 之 间 的 关系 进 
行 标识 ; 

BP. 02. 05 标识 和 特征 化 影响 ; 

BP. 02. 06 监视 所 有 影响 中 的 不 断 变化 。 

4. 管理 安全 控制 

管理 安全 控制 的 目的 在 于 保证 集成 到 系统 设计 中 已 计划 的 系统 安全 确实 由 最 终 系统 
在 运行 状态 下 达到 。 其 目标 是 恰当 地 配置 和 使 用 安全 控制 。 

本 过 程 区 描述 了 管理 和 维护 开发 环境 和 运行 系统 的 安全 控制 机 制 所 需要 的 那些 活 
动 ,这 个 过 程 区 有 助 于 进一步 保证 在 整个 时 间 内 不 降低 安全 级 别 ,一 个 新 设备 的 控制 管理 
应 该 集成 到 现 有 设备 的 控制 中 去 。 

基本 实施 清单 包括 : 

。 BP. 01. 01 建立 安全 控制 的 职责 和 责任 并 通知 到 组 织 中 的 每 一 个 人 ; 

。 BP. 01. 02 管理 系统 控制 的 配置 ; 

。 BP. 01. 03 管理 所 有 的 用 户 和 管理 员 的 安全 意识 .培训 和 教育 大 纲 ; 

。 BP. 01. 04 管理 安全 服务 及 控制 机 制 的 定期 维护 和 管理 。 


本 章 小 结 


随 着 社会 对 信息 依赖 程度 的 增长 ,信息 的 保护 变 得 越 来 越 重 要 。 安 全 的 关注 点 已 从 
维护 保密 的 政府 数据 发 展 到 更 广泛 的 应 用 ,如 金融 交易 ,合同 协议 ,个 人 信息 和 因特网 信 
息 , 而 信息 或 数据 的 机 密 性 、 完 整 性 、 可 用 性 、 可 记录 性 、 私 有 性 直至 系统 安全 的 保障 都 必 
须要 考虑 和 确定 。 因 此 ,系统 安全 工程 应 运 而 生 。 系 统 安全 工程 原理 适用 于 系统 和 应 
的 开发 .集成 .运行 ,管理 ,维护 和 演变 ,以 及 产品 的 开发 .交付 和 演变 。 国 际 上 通常 采用 能 
力 成 熟 度 模型 (Capability Maturity Model, CMM) 来 评估 一 个 组 织 的 工程 能 力 , 而 SSE- 
CMM 确定 了 一 个 评价 安全 工程 实施 的 综合 框架 ,提供 了 度量 与 改善 安全 工程 学 科 应 上 
情况 的 方法 ,也 就 是 说 ,对 合格 的 安全 工程 实施 者 的 可 信和 性 ,是 建立 在 一 个 工程 组 的 安全 
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实施 与 过 程 的 成 熟 性 评估 之 上 的 。 本 章 从 SSE-CMM 的 基础 出 发 ,给 出 其 关键 概念 、 体 
系 结构 ,分 析 了 SSE-CMM 的 应 用 和 系统 安全 工程 评估 方法 。 


习 题 


. 什么 是 系统 安全 工程 ? 

. 什么 是 系统 安全 能 力 成 熟 度 模型 ? 

. 简 述 系统 安全 的 三 个 过 程 。 

. 简 述 SSE-CMM 的 体系 结构 。 

. 系统 安全 能 力 评估 分 哪 几 个 阶段 ? 有 哪些 类 型 ? 

. 什么 是 过 程 改 进 ? 如 何 使 用 SSE-CMM 改进 过 程 ? 
. 收集 国内 外 有 关 SSE-CMM 的 最 新 动态 。 
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学 习 目标 

。 了 解 信 息 安全 工程 对 安全 特性 的 贡献 ; 
。 熟悉 信息 安全 工程 生命 周期 ; 

。 熟悉 信息 安全 工程 小 组 职责 ; 

。 掌握 信息 安全 工程 对 应 的 环节 。 


本 章 的 目的 是 介绍 与 信息 安全 工程 工作 相关 联 的 基本 概念 和 各 种 典型 活动 ,这 些 活 
动 是 一 般 系 统 工 程 中 特殊 的 线程 或 子 进 程 。 这 里 概括 性 地 描述 每 项 活动 ,并 不 打算 把 它 
们 描述 到 一 个 完整 的 系统 工程 或 信息 系统 安全 指南 的 深度 。 每 一 项 重要 功能 都 包含 一 系 
列 高 深 的 技术 性 和 特殊 的 活动 。 这 些 活动 必须 由 拥有 足够 经 验 和 专门 技能 的 系统 工程 和 
安全 专业 人 员 来 指导 和 完成 。 


4.1 概 述 


信息 安全 工程 涉及 一 个 综合 的 系统 工程 环境 中 与 信息 系统 安全 工程 实践 有 关 的 各 个 
方面 。 

1. 信息 安全 工程 重要 性 

(1) 信息 系统 大 量 用 于 政府 、 国 防 、 民 用 部 门 和 个 人 。 

(2) 信息 系统 存在 弱点 和 漏洞 .使 用 者 存在 偶然 或 故意 的 违规 操作 行为 ,使 得 信息 系 
统 资源 随 着 访问 的 增加 而 增加 了 被 非法 访问 或 使 用 的 可 能 性 。 因 此 必须 对 政府 、 国 防 、 民 
用 部 门 和 私人 的 信息 与 信息 系统 进行 保护 。 处 理 、 传 输 和 存储 信息 的 系统 的 复杂 性 和 网 


络 化 ,要 求 信息 系统 安全 的 方法 和 措施 要 有 革命 性 的 变化 。 
(3) 技术 的 发 展 使 得 信息 系统 的 获取 方式 正 逐 渐 从 专用 系统 向 集成 商用 现货 设备 


(Commercial-off-the-Shelf,COTS) 和 政府 现货 设备 (Government-off-the-Shelf, GOTS) 
的 新 方向 转移 。 在 这 种 方式 下 .系统 的 开发 、 集 成 .部 署 要 预先 考虑 费用 、 时 间 、 技 术 诸 多 
因素 ,信息 系统 安全 专业 工作 者 与 客户 、 开 发 人 员 、 系 统 集成 人 员 密 切合 作 就 变 得 越 来 越 
重要 。 

2. 信息 安全 工程 与 系统 工程 关系 

为 了 使 信息 系统 安全 具有 可 实现 性 并 有 效力 ,必须 把 信息 系统 安全 集成 在 系统 生命 
周期 的 安全 工程 实施 过 程 中 ,并 与 业务 需求 .环境 需求 项目 计 划 、 成 本 效益 、 国 家 和 地 方 
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政策 标准、 指令 保持 一 致 性 。 这 种 集成 过 程 将 产生 一 个 信息 安全 工程 过 程 ,这 一 过 程 能 
够 确认 、 评 估 、 消 除 (或 控制 ) 已 知 的 或 假定 的 安全 威胁 可 能 引起 的 系统 风险 ,最 终 得 到 一 
个 可 以 接受 的 安全 风险 等 级 。 在 系统 设计 、 开 发 和 运行 时 ,应 该 运用 科学 的 和 工程 的 原理 
来 确认 和 减少 系统 对 攻击 的 脆弱 度 或 敏感 性 。 信 息 安全 工程 并 不 是 一 个 独立 的 过 程 , 它 
依赖 并 支持 系统 工程 和 获取 过 程 ,而 且 是 后 者 不 可 分 割 的 一 部 分 。 信 息 安 全 工程 过 程 的 
目标 是 提供 一 个 框架 ,每 个 工程 项 目 都 可 以 对 这 个 框架 进行 裁剪 ,以 符合 自己 特定 的 需 
求 。 信 息 安全 工程 表现 为 直接 与 系统 工程 功能 和 事件 相对 应 的 一 系列 信息 系统 安全 工程 
行为 。 

信息 安全 工程 是 系统 安全 工程 (Systems Security Engineering, SSE)、 系 统 工 程 
(System Engineering,SE) 和 系统 获取 (System Acquisition, SA) 在 信息 系统 安全 方面 的 
具体 体现 ,如 图 4-1 所 示 。 





图 4-1 信息 安全 工程 与 系统 获取 和 系统 工程 的 集成 与 同步 演变 示意 图 


信息 安全 工程 过 程 的 目的 是 使 信息 系统 安全 成 为 系统 工程 和 系统 获取 过 程 整体 的 必 
要 部 分 ,从 而 有 力 地 保证 用 户 目 标的 实现 ,提供 有 效 的 安全 措施 以 满足 客户 的 需求 ,将 信 
息 系统 安全 的 安全 选项 集成 到 系统 工程 中 ,以 获得 最 优 的 信息 系统 安全 解决 方案 。 

信息 安全 工程 是 对 系统 工程 的 一 种 约束 , 它 需要 逐步 获得 发 展 , 并 对 集成 的 .生命 期 
均衡 的 、 满 足 客 户 信息 系统 安全 需求 的 一 系列 系统 产品 和 过 程 进 行 验证 的 解决 方案 。 信 
息 安 全 工程 列 出 系统 的 安全 风险 ,并 使 这 些 风险 减 至 最 少 或 得 到 控制 。 

下 列 事项 说 明了 信息 安全 工程 的 定义 和 相关 的 信息 安全 工程 过 程 : 

。 业务 所 必需 的 安全 需求 ; 

。 满足 客户 、 认 可 者 和 最 终 用 户 可 接受 的 风险 等 级 需求 ; 

。 对 信息 安全 工程 进行 精心 的 裁剪 以 满足 客户 的 需求 ; 
在 实施 时 尽早 把 安全 结合 到 系统 工程 过 程 中 ; 
在 对 诸如 费用 、 进 度 、 适 用 性 和 有 效 性 等 的 综合 考虑 中 ,平衡 考虑 安全 风险 管理 和 
其 他 的 信息 安全 工程 ; 
将 信息 系统 安全 的 有 关 选 项 和 能 力 需求 与 其 他 各 种 限制 条 件 同时 考虑 并 进行 
折 中 ; 
与 客户 的 系统 工程 和 获取 过 程 进行 集成 ; 
使 用 标准 的 系统 工程 和 获取 文档 ; 
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。 应 用 产品 和 过 程 的 两 种 解决 方案 ; 

。 在 现场 部 署 之 后 ,继续 进行 安全 生命 期 的 支持 。 

3. 信息 安全 工程 的 贡献 

信息 安全 工程 对 安全 特性 的 贡献 如 图 4-2 所 示 , 信 息 安全 工程 小 组 参与 下 列 活动 : 
系统 总 体 规划 分析 和 控制 要求 分 析 、 设 计 、 开 发 /集成 验证、 运行 和 对 为 有 安全 需求 的 






































系统 提供 生命 期 支持 。 
安全 规划 分 析 
和 控制 
安全 风险 管理 系统 安全 需求 信息 安全 工科 基本 能 活动 
。 安 全 活动 的 规划 与 控制 ， 
a 2 。 安 全 需求 的 确定 ， 











。 安 全 设计 支持 ; 

信息 安全 工 各 和 

生存 周期 | 祝 4 3 b Sy 详细 实际 : & 
安全 支持 有 关 活 动 及 贡献 安全 设计 支持 。 安 全 操作 分 析 ; 


Se 。 安 全 生命 周期 支持 ; 
安全 操作 分 析 
和 支持 安全 开发 集成 
系统 安全 性 验证 


。 安 全 风险 管理 。 
图 4-2 信息 安全 工程 对 安全 特性 的 贡献 















































基本 信息 安全 工程 的 生命 周期 定义 和 执行 如 图 4-3 所 示 , 信 息 安 全 工程 小 组 的 活动 
在 系统 整个 生命 周期 的 每 个 阶段 并 行 和 反复 进行 。 每 项 活动 所 需要 的 技术 项 目 等 级 在 不 
同 阶段 各 不 相同 。 当 活动 的 实质 涉及 证 明和 开发 出 作为 活动 成 果 的 信息 或 概念 时 , 除 生 
命 期 运行 和 支持 活动 外 ,多 数 活动 在 这 个 阶段 的 开始 就 要 求 付出 极 大 的 努力 和 巨大 的 资 
源 开销 。 早 在 过 程 的 中 期 阶段 ,信息 被 提炼 和 更 新 ,并 变换 为 可 以 实现 的 系统 方案 :过程 
中 间 阶 段 的 前 期 ,信息 或 概念 得 到 实现 ,验证 并 证 实 有 效 之 后 即 投 入 长 久 的 运行 使 用 ;在 
过 程 中 期 阶段 的 后 期 ,信息 或 概念 被 使 用 .支持 ,并 在 必要 时 得 到 修改 ,最 后 进行 部 署 。 虽 
然 安全 运行 和 生命 周期 支持 活动 始 于 过 程 早 期 和 中 期 阶段 的 预期 工程 和 获取 程序 级 
(Acquisition program-level) 的 工程 ( 即 对 获取 程序 本 身 安 全 需求 的 支持 ) ,但 是 运行 和 生 
命 周期 支持 功能 的 大 量 工 作 项 目 一 般 出 现在 后 期 阶段 。 该 阶段 需要 进行 运行 部 署 、 使 用 、 
监控 ,支持 和 为 了 提供 合适 的 系统 安全 特性 而 进行 有 效 的 测试 修改 。 

信息 安全 工程 过 程 包括 一 系列 与 系统 工程 的 各 个 阶段 和 事件 相对 应 的 安全 工程 功 
能 。 各 种 功能 间 的 相互 协调 是 反复 运用 图 4-3 的 基本 过 程 来 实现 的 。 图 4-3 中 的 每 一 坚 
格 代 表 生 命 周期 的 一 个 阶段 ,每 一 横 格 代表 了 一 个 基本 的 信息 安全 工程 功能 。 该 图 中 两 
者 的 纵横 交叉 表明 在 系统 的 任 一 阶段 ,信息 安全 工程 的 任何 一 个 功能 都 应 考虑 到 。 

虽然 不 同 项 目 中 的 每 一 个 阶段 所 花 时 间 和 精力 可 能 不 同 , 但 一 般 统计 情况 是 系统 生 
命 期 中 85% 的 时 间 和 精力 开销 是 在 系统 开发 前 5% 的 时 间 内 确定 的 ,也 就 是 说 大 量 的 精 
力 花 在 生命 期 开发 之 后 , 花 在 系统 的 运行 和 支持 阶段 , 花 在 大 大 小 小 的 修改 当中 。 这 些 统 
计数 字 说 明了 系统 的 各 种 有 关 人 员 应 尽早 一 起 讨论 分 析 贯 穿 系 统 生 命 期 的 有 关 问 题 。 系 
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任 可 系 系 初 关 系 物 
务 选 统 统 步 键 统 理 
需 系 需 功 设 设 验 配 
求 统 来 能 计 计 证 二 
说 评 评 评 评 评 评 评 


WINS) 机 (SRR) (SFR) (PDR) (CDR)(SVR) (PCA) 
系统 事件 
图 4-3 基本 信息 安全 工程 的 生命 周期 定义 和 执行 


统 工程 流程 和 信息 安全 工程 过 程 的 目的 就 是 找到 解决 问题 的 工程 办 法 。 

图 4-3 的 信息 安全 基本 功能 的 活动 包括 : 

。 对 安全 活动 进行 规划 和 控制 ; 

。 安全 需求 定义 ; 
安全 设计 支持 (包括 顶层 体系 定义 和 对 详细 设计 实现 的 支持 ); 
安全 运行 分 析 ; 
生命 期 安全 支持 ; 

。 安全 风险 管理 。 

在 系统 获取 和 系统 工程 生命 期 的 每 一 个 阶段 和 事件 中 ,以 上 活动 都 是 并 行 的 ,同时 各 
个 活动 之 间 是 互相 影响 的 。 在 系统 开发 的 不 同 阶段 ,涉及 信息 安全 工程 过 程 各 功能 的 程 
度 也 是 不 一 样 的 。 每 个 信息 安全 工程 功能 至 少 有 以 下 三 种 模式 : 为 功能 实现 作 准 备 ; 实 
现 功能 ; 当 系统 发 生变 动 时 或 有 新 情况 出 现时 ,对 功能 做 出 相应 的 改动 。 例 如 ,图 4-3 中 
的 安全 设计 支持 功能 ,在 早期 阶段 包括 为 实现 系统 最 终 目标 而 制订 计划 ,制造 原型 机 或 模 
型 .进行 模拟 仿真 .设计 可 行 性 研究 等 。 对 安全 设计 支持 功能 而 言 ,在 早期 作业 以 后 , 紧 接 
着 出 现 了 一 个 作业 高 峰 。 此 时 大 量 信息 安全 工程 过 程 活动 是 实质 性 的 设计 工作 , 即 完成 
系统 功能 和 体系 的 定义 ,包括 其 中 的 安全 措施 和 属性 。 当 作业 高 峰 过 去 后 ,系统 设计 也 就 
完成 了 ,并 且 体 现在 一 系列 的 详细 实现 设计 当中 。 当 系统 设计 成 熟 并 进行 配置 后 ,安全 设 
计 支 持 功能 并 未 停止 ,还 要 对 系统 进行 修改 更 新 ,以 使 设计 不 断 完善 。 图 4-3 中 的 安全 风 
险 管理 功能 有 几 个 “ 峰 ”: 如 一 个 “ 峰 ” 在 系统 被 激活 之 前 ,与 系统 的 安全 认可 有 关 ; 一 个 
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“ 峰 ? 出 现在 系统 概念 定义 阶段 ,与 规定 一 个 各 方 都 能 接受 的 安全 风险 有 关 。 

这 些 信 息 安全 工程 功能 活动 的 输出 是 一 些 将 要 融入 系统 级 文档 的 有 关 安 全 方面 的 信 
息 , 如 工程 管理 计划 、 需 求 文件 .技术 评审 报告 .决策 评审 报告 .设计 规范 .试验 计划 和 程序 
等 。 在 不 断 重复 的 安全 风险 评估 报告 中 ,也 需要 用 到 信息 安全 工程 的 各 种 功能 ,这 样 才能 
对 过 程 中 任何 时 刻 的 安全 风险 做 出 正确 的 判断 。 下 面 将 对 信息 安全 工程 关键 活动 进行 
描述 。 


4.2 安全 需求 的 定义 


系统 特有 的 安全 需求 定义 一 般 在 两 个 级 别 上 给 出 : 从 用 户 角度 给 出 高 级 操作 运行 需 
求 定义 和 从 系统 开发 者 或 集成 者 的 工程 观点 提出 更 正式 的 需求 规范 定义 。 安 全 目标 也 可 
以 在 业务 域 定 义 或 在 商业 企业 /环境 级 别 上 定义 ,而 忽略 域 中 所 包含 的 各 个 独立 的 子 系 
统 。 本 节 首 先 评述 用 于 一 般 需 求 定义 的 系统 工程 过 程 和 方法 ,然后 讨论 一 般 的 安全 性 特 
有 的 课题 ,以 及 与 安全 需求 定义 相关 的 信息 安全 工程 活动 和 整个 系统 生命 期 内 务 活动 的 
阶段 划分 问题 。 


4.2.1 系统 需求 定义 概述 


1.， 系统 级 运行 需求 定义 

在 一 个 项 目 生命 期 的 先期 概念 阶段 ,将 定义 和 文档 化 与 新 系统 能 力 相 关联 的 业务 (或 
任务 ) 需 求 。 一 个 任务 是 一 项 特殊 定义 的 作业 , 它 需 要 利用 某 个 系统 并 以 此 支持 一 个 或 多 
个 组 织 的 职责 。 相 应 地 ,业务 能 力 需求 定义 可 认为 是 描述 机 构 的 运行 作业 或 问题 ,而 且 这 
些 问 题 通过 现 有 能 力 或 完全 使 用 非 技术 性 手段 在 目前 是 无 法 解决 的 。 对 于 这 种 能 力 上 的 
缺陷 ,MNSCManagement Network System) 认 为 最 好 是 建立 新 系统 并 作为 解决 业务 能 力 
缺陷 的 方案 。 一 般 说 来 ,MNS 文件 将 由 客户 机 构 写 出 ,而 且 应 当 在 非常 高 的 级 别 上 用 系 
统 用 户 的 语言 来 表达 。 一 旦 拟 就 草案 ,就 必须 由 官方 来 正式 确认 MNS 的 有 效 性 ,而 且 获 
得 资金 支持 ,才能 开始 进一步 的 开发 工作 。 信 息 安全 工程 小 组 应 当知 道 , 各 个 MNS 在 可 
用 资源 方面 存在 争议 ,并 非 所 有 的 MNS 都 可 得 到 批准 和 采用 。 

业务 需求 引导 可 选择 系统 评审 (Alternate System Review,ASR) 过 程 中 开发 的 一 些 
可 选择 系统 概念 。 这 些 需 求 将 进一步 分 解 为 正在 审核 中 的 可 选择 系统 概念 的 高 级 系统 需 
求 。 这 些 系统 需求 一 般 在 用 作 选 定 系统 的 初始 运行 需求 文件 (Initial Operational 
Requirements Document,IORD) 中 用 文档 加 以 确认 。 在 这 个 级 别 上 ,需求 文档 主要 是 有 
关 功 能 和 性 能 的 文档 ,它们 应 该 包含 尽 可 能 少 的 设计 限制 ,而 且 应 当 避 免 将 设计 规范 和 实 
现 规范 作为 一 部 分 引入 正式 的 运行 需求 集合 中 。 

2. 系统 级 需求 分 析 和 规范 

系统 级 需求 分 析 和 规范 是 为 了 确定 系统 每 个 主要 功能 的 安全 需求 和 其 他 需求 ,并 
无 歧义 的 可 试验 术语 说 明 这 些 需 求 。 这 些 术 语 能 表征 所 需 能 力 、 操 作 适 用 性 必须 达到 的 
性 能 级 别 以 及 必须 满足 的 任何 限制 。 需 求 分 析 也 包括 评审 全 套 需 求 , 以 保证 其 完全 性 , 识 
别 相 互 依赖 性 和 解决 任何 冲突 ,保持 所 获得 的 特殊 系统 规范 的 恰当 平衡 。 过 度 规范 的 需 
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求 一 般 可 导致 降低 灵活 性 、 对 潜在 可 行 解决 方案 的 排斥 性 、 增 加 复杂 性 、 较 高 的 开发 和 支 
持 费 用 、 较 低 的 可 靠 性 ,以 及 较 多 的 定制 需求 和 产生 其 他 不 希望 有 的 影响 。 不 规范 的 需求 
则 可 能 使 系统 对 其 预期 应 用 不 可 认证 ,或 难以 按 合同 对 开发 进行 管理 ,缺少 某 些 必要 能 力 
(规范 中 未 具体 指定 或 存在 不 希望 有 的 属性 ) 而 导致 使 用 受到 约束 和 限制 。 

需求 分 析 的 结果 将 通过 运行 需求 文档 (Operational Requirements Document,ORD) 
进行 文档 化 ,并 应 该 在 “系统 规范 ?中 以 更 详细 的 方式 文档 化 “系统 规范 ”必须 以 用 户 和 
广大 技术 专家 可 以 理解 的 术语 清楚 准确 地 阐述 对 系统 的 技术 和 业务 需求 ,将 需求 分 配给 
重要 的 功能 领域 ,用 文件 形式 确认 设计 限制 ,定义 功能 领域 之 间或 之 中 (系统 内 部 的 和 外 
部 的 ?的 接口 “系统 规范 ?常常 附 有 一 个 工作 说 明 书 (Statement of Work,SOW) 文 档 , 它 
是 通过 合同 采购 所 获得 的 系统 法 律 性 强制 执行 的 技术 需求 文件 。 

多 数 的 需求 定义 活动 一 旦 通过 适当 的 阶段 评审 ,经 必要 的 折 中 决策 和 风险 分 析 并 得 
到 有 关 决 策 者 的 批准 后 , 便 被 认为 已 经 完成 。 在 某 些 情况 下 ,连续 的 需求 分 析 可 能 需要 对 
先前 产生 的 顶级 需求 文件 进行 一 些 修正 。 这 些 修正 的 示例 可 能 包括 一 些 新 需求 ,它们 可 
以 是 由 于 环境 变化 、 由 于 正式 批准 的 折 中 决策 ,或 由 于 通过 系统 工程 过 程 获 得 的 对 高 层 运 
行 需 求 的 更 好 评估 而 产生 的 。 系 统 工程 决策 数据 库 应 当 保存 这 些 变 化 以 及 它们 的 基本 原 
则 ,同时 还 应 对 改进 的 需求 做 仔细 研究 ,以 确定 它们 是 否 导致 项 目 进度 、 费 用 、 风 险 或 其 他 
参数 的 提高 (或 降低 ) ,是 否 引 入 冲突 或 同 其 他 系统 需求 产生 别 的 相互 依赖 性 ,应 当 避 免 随 
意 变 更 。 在 所 建议 的 需求 变化 被 批准 纳入 系统 “现行 "需求 集合 之 前 ,这 些 问题 必须 全 部 
得 到 解决 。 

当 需 求 集合 是 完整 的 并 被 批准 后 ,“ 功 能 基线 "也 就 确定 了 。“ 功 能 基线 ”由 最 初 批准 
的 文档 组 成 。 它 描述 系统 的 功能 \ 性 能 、 互 操作 性 、 接 口 需 求 ,以 及 为 了 说 明 这 些 具 体 需 求 
的 作用 所 需 的 验证 。 在 开发 工作 的 后 期 ,也 要 为 “配置 项 目 ”(Configuration Item,CD) 定 
义 “ 功 能 基线 ”。 

3. 系统 需求 定义 和 可 跟踪 性 

“需求 分 析 ” 被 定义 为 对 系统 特有 特性 的 确定 。 这 种 确定 基于 对 客户 需求 、 要 求 和 目 
标 、 业 务 、 人 、 产 品 和 过 程 的 预期 使 用 环境 、 限 制 和 效率 等 的 分 析 。 这 种 活动 的 输出 应 当 是 
一 组 恰当 的 需求 陈述 ,对 用 户 是 可 理解 并 得 到 用 户 同 意 的 ;这 组 需求 的 陈述 对 广泛 的 阅读 
群 是 完整 的 清晰 的 和 准确 的 ,而 且 是 可 以 通过 试验 论证、 检查 或 分 析 ( 包 括 仿真 模拟 ) 进 
行 验证 的 。 需 求 可 以 是 正面 的 ,也 可 以 是 负面 的 , 即 它们 不 仅 可 以 阑 述 用 户 期 望 系统 要 做 
的 事 ,而 且 可 以 阐述 用 户 期 望 系统 不 应 显示 的 或 不 想 要 的 行为 或 特性 。 恰 当 的 选择 和 使 
用 自动 化 工具 ,常常 有 助 于 分 析 者 在 整个 系统 工程 过 程 中 发 现 、 确 定 、 分 解 .管理 和 验证 系 

应 当 在 需求 验证 可 跟踪 模板 (Requirements Verification Traceability Matrix， 
RVTM) 内 保持 整体 层次 性 需求 陈述 的 可 跟踪 性 。 对 于 大 型 需求 集合 ,自动 化 工具 用 于 
跟踪 数据 的 维护 和 验证 ;对 于 简单 工程 项 目 , 人 工 维护 RVTM 就 可 满足 要 求 。 当 需求 被 
充分 分 解 时 ,它们 将 被 分 配给 功能 和 物理 系统 组 件 ,包括 正式 控制 的 配置 项 和 其 他 组 件 ， 
同时 也 被 分 配给 测试 和 评估 规划 ,以 建立 工程 的 一 致 性 。 可 跟踪 分 析 必 须 保 证 每 个 原始 
的 需求 (或 是 对 其 "父系 ”需求 进行 了 详细 规范 的 * 子 系 ” 需 求 集 ) 被 覆盖 在 系统 验证 ( 即 测 
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试 ,论证 ,检查 、 分 析 ) 的 适当 阶段 和 适当 类 型 之 中 。 满 足 了 所 有 系统 需求 的 系统 , 才 被 认 
为 是 有 效 的 系统 。 需 求 的 可 跟踪 性 ,尤其 是 对 功能 性 和 物理 性 设计 的 验证 、 测 试 程序 和 物 
理 配 置 中 的 后 期 应 用 的 需求 可 跟踪 性 ,应 当 由 与 负责 系统 开发 者 /集成 者 无 关 的 人 员 来 认 
真 地 完成 或 至 少 是 由 他 们 进行 审计 。 对 较 大 型 和 较 关 键 的 项 目 , 选 择 一 个 有 经 验 的 独立 
的 系统 验证 和 证 实 小 组 进行 需求 跟踪 是 必要 的 。 

应 当 用 一 份 完整 的 系统 需求 文件 来 考虑 和 定义 几 种 类 型 的 需求 。 一 般 说 来 ,这 些 需 
求 包括 功能 和 性 能 需求 .接口 和 互 操作 性 需求 ,设计 限制 以 及 导出 的 需求 。 


1) 功能 需求 
功能 需求 表示 必须 完成 的 业务 、 行 动 或 活动 。 
2) 性 能 需求 


性 能 需求 表示 必须 运行 的 业务 或 功能 的 程度 ,通常 用 质量 (高 低 )、 数 量 ( 多 少 ) 、 覆 六 
范围 (距离 ,范围 )、 及 时 性 (怎样 响应 、 响 应 的 频 度 ) 或 实现 情况 (可 用 性 ,平均 无 故障 间隔 
时 间 ) 来 度量 。 性 能 需求 最 初 是 利用 用 户 需求 .目标 和 /或 需求 陈述 ,通过 需求 分 析 和 折 中 
研究 来 定义 的 。 性 能 需求 要 针对 每 个 已 识别 客户 (用 户 和 供给 商 ) 的 业务 和 每 一 项 基本 
(系统 工程 ) 功 能 进行 定义 。 

3) 接口 需求 

接口 需求 表示 功能 的 \ 性 能 的 .电气 的 、 环 境 的 、 人 员 和 物理 的 需求 与 限制 ,它们 存在 
于 两 种 或 多 种 功能 、 系 统 元 素 .CI 或 系统 之 间 的 共同 边界 上 。 

4) 互 操作 性 需求 

互 操作 性 需求 表示 规定 系统 .单元 或 人 员 所 需要 的 能 力 , 他 们 用 这 种 能 力 向 别 的 系 
统 、. 单 元 或 人 员 提供 服务 ,或 从 别 的 系统 .单元 或 人 员 处 接受 服务 ,以 及 用 这 些 服务 进行 交 
流 以 达到 有 效 协 调运 行 。 

5) 导出 的 需求 

导出 的 需求 一 般 是 在 初级 产品 或 过 程 方案 合成 期 间 和 相关 折 中 研究 与 验证 期 间 被 定 
义 的 典型 特征 。 所 谓 导出 ,是 将 一 些 典型 的 要 素 变 成 一 些 成 熟 的 系统 概念 ,这 些 概念 被 反 
复 地 研究 、 定 义 和 评 估 , 因 此 常常 不 可 能 立即 通过 管理 网 络 系统 (Management Network 
System, MNS) 或 运行 需求 文档 (Operational Requirements Document,ORD) 对 其 源 需 求 
进行 直接 跟踪 。 但 是 ,它们 却 是 系统 实现 其 预定 功能 所 必 不 可 少 的 。 因 此 ,一 旦 确定 ,就 
必须 在 系统 的 总 体 需 求 层次 内 用 文档 进行 识别 。 

6) 设计 限制 

设计 限制 是 开发 者 /集成 者 在 分 配 性 能 需求 和 /或 合成 系统 元 素 时 必须 遵守 的 边界 条 
件 。 这 些 设计 限制 作为 先前 决策 的 结果 .可 以 是 外 部 强加 的 (如 安全 、 环 境 ) ,也 可 能 是 内 
部 强加 的 。 这 些 先前 的 决策 限制 了 后 继 的 设计 选择 。 这 种 限制 的 示例 包括 形式 .装配 、 功 
能 、 接 口 .技术 工艺 材料. 标准化、 费用 和 时 间 。 


4.2.2 安全 需求 分 析 的 一 般 课题 
本 小 节 考 察 在 安全 目标 .需求 和 要 求 的 分 析 和 定义 中 所 涉及 的 一 般 性 课题 。 
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1. 安全 规则 和 政策 解释 


首次 信息 系统 安全 需求 分 析 活 动 应 当 包括 全 面 审 查 和 考虑 一 切 适 用 的 .与 有 关 安 全 
标准 或 目标 体系 结构 相符 合 的 规则 和 政策 性 指令 。 在 这 一 步骤 里 ,需要 对 由 国家 、 国 际 机 
构 、 地 方 和 企业 发 布 的 保护 涉 密 的 和 敏感 的 非 涉 密 信 息 的 强制 性 和 指导 性 的 法 律 体 、 规 
则 、 机 构 政策 与 指南 等 进行 分 析 和 解释 。 政 府 通过 国家 主管 部 门 的 指令 .国家 标准 和 行业 
标准 以 及 由 政府 授权 的 代理 机 构 的 规划 和 指导 ,提供 保证 信息 系统 的 综合 安全 指南 。 为 
业务 域 定 义 的 安全 目标 ,以 及 为 系统 获取 项 目 所 开发 的 具体 项 目的 需求 和 要 求 ,必须 保证 
系统 所 提交 的 强制 性 需求 是 足够 的 ,并 保证 遵守 适当 的 指南 和 方法 论 ,这 些 强 制 性 规定 的 
解释 同 用 户 和 指定 审批 机 构 (DAA) 自 己 的 参考 和 解释 框架 (包括 DAA 许可 的 任何 机 构 ) 
是 一 致 的 。 从 安全 规则 和 政策 评审 中 提取 出 的 某 些 需求 和 表达 的 客户 的 操作 运行 安全 需 
求 是 难以 区 别 的 ,然而 ,在 其 他 情况 下 ,政策 条 款 却 可 以 给 某 些 特 定 系统 强加 系统 安全 需 
求 ,因为 这 些 特定 系统 不 能 按 逻 辑 立 即 从 其 运行 业务 需求 中 产生 出 系统 安全 需求 ,这 些 政 
策 性 需求 将 是 系统 开发 或 运行 的 设计 限制 。 

在 根据 较 高 层次 政策 和 规则 提取 系统 安全 需求 时 ,应 当 把 这 种 关系 保留 下 来 作为 工 
程 决策 数据 库 和 需求 验证 可 跟踪 模板 的 一 部 分 。 

信息 安全 工程 过 程 并 不 要 求 产 生 系统 特有 的 “策略 ?或 指令 ,而 是 把 这 些 指令 视 为 对 
业务 环境 和 用 户 机 构 更 合适 的 较 高 层次 的 管理 功能 。 由 于 业务 环境 包含 许多 各 不 相同 但 
可 能 相互 连接 的 系统 ,所 以 管理 意义 上 的 策略 最 好 是 采用 一 致 性 的 一 次 性 (而 不 是 分 离 式 
的 ?系统 配置 模式 ,以 避免 冲突 .相互 依赖 和 混乱 。 如 上 所 述 ,任何 定义 的 业务 域 策略 都 要 
按 符合 系统 工程 工作 项 目的 目标 和 设计 限制 来 运行 。 

然而 ,有 关 安 全 的 接口 控制 /设计 规范 (有 时 叫 作 “ 策 略 ”) 以 及 系统 安全 运行 程序 、 限 
制 和 控制 ,都 应 当 作为 系统 产品 和 过 程 方案 通过 整个 开发 周期 的 信息 安全 工程 活动 过 程 
产生 出 来 。 除 了 要 仔细 研究 接口 对 正在 获得 的 或 改进 的 系统 的 影响 之 外 ,还 应 分 析 对 与 
之 连接 的 外 部 系统 的 影响 。 建 立 外 部 接口 ,往往 要 求 每 一 个 适用 的 外 部 系统 与 负责 的 系 
统管 理 人 员 和 /或 配置 控制 委员 会 充分 协调 ,他 们 应 当 认真 地 审查 新 接口 的 系统 功能 、 性 
能 .运行 和 支持 模式 ,以 及 安全 风险 可 能 产生 的 不 利 影 响 。 

2. 安全 威胁 评估 

安全 威胁 被 定义 为 : 敌对 方 经 过 深思 熟 虑 ,利用 那些 可 能 对 信息 或 系统 造成 损害 的 
条 件 (行为 或 事件 的 ) 能 力 ,意图 和 方法 。 必 须 全 面 仔细 地 考虑 在 系统 开发 和 系统 运行 期 
间 , 以 及 在 实际 或 预计 时 间 范 围 内 可 能 发 生 的 外 部 人 员 和 内 部 人 员 鞭 意 的 安全 威胁 。 有 
时 ,也 可 以 认为 威胁 包含 授权 用 户 不 经 意 所 犯 下 的 错误 、 纯 粹 误 操作 或 偶尔 的 误 用 ,但 这 
些 因素 具有 偶然 性 和 可 控 性 的 特征 。 

信息 安全 工程 小 组 应 当 同 用 户 一 道 工 作 . 以 帮助 他 们 在 “系统 威胁 评估 报告 
(System Threat Assessment Report,STAR) 内 准确 全 面 地 描述 有 关 对 信息 系统 安全 的 
威胁 。STAR 报告 描述 了 规划 的 未 来 运行 威胁 环境 、 系 统 特有 的 威胁 、 可 能 影响 项 目 决策 
的 实际 威胁 ,以 及 项 目 管理 人 员 在 评估 针对 威胁 的 程序 时 所 得 到 的 交互 式 分 析 成 果 。 威 
胁 评估 必须 提前 进行 ,使 其 在 系统 “初始 运行 能 力 ”(Initial Operational Capability,IOC) 
的 开始 阶段 及 延伸 到 其 预期 运行 寿命 结束 的 时 间 范 围 内 都 有 意义 。STAR 报告 应 当 包 含 
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针对 用 户 信息 和 信息 系统 的 安全 威胁 ,以 及 其 他 各 种 类 型 的 威胁 (例如 源 自 政 方 的 物理 威 
胁 或 者 军事 破坏 ) 。 

应 当 针 对 特定 业务 和 系统 环境 以 及 预期 的 运行 时 间 框 架 ,严密 地 裁剪 信息 系统 安全 
的 威胁 信息 。 信 息 系 统 安全 威胁 信息 应 当 包括 已 得 到 论证 的 威胁 和 可 支持 的 设 定 的 威 
胁 。 威胁 信息 的 形成 涉及 法 在 政 对 方 的 手段 .时 机 和 动机 。 信息 系统 安全 威胁 信息 应 当 
以 某 种 形式 和 在 某 个 分 类 级 别 上 提供 给 客户 ,以 使 用 户 和 信息 安全 工程 小 组 之 间 能 够 进 
行 联系 和 相互 理解 。 威 胁 信息 将 用 来 在 系统 运行 需求 文件 ,以 及 获取 和 工程 管理 计划 中 
驱动 相应 的 需求 。 

开发 期 间 的 相关 威胁 以 及 针对 这 些 威胁 要 采取 的 安全 对 策 ,常常 需要 包括 在 "项 目 保 
护 计划 ”中 。“ 项 目 保 护 计划 ”涉及 在 试验 中 心 .区 域内 、 试 验 室 、 承 包 商 设备 以 及 部 署 现场 
中 与 程序 相关 联 的 活动 ,并 按 需 求 为 获取 程序 提供 全 方位 的 保护 措施 。“ 项 目 保护 计划 ” 
在 “概念 阶段 "制定 ,并 且 应 在 后 继 的 阶段 加 以 更 新 。 

3. 任务 (业务 ) 安 全 目标 

为 业务 或 商业 领域 定义 的 安全 目标 代表 安全 定义 的 最 高 等 级 。 这 些 安全 目标 最 好 以 
绝对 术语 ( 即 没有 那 种 通常 与 系统 特定 需求 说 明 紧密 联系 的 相关 性 能 或 “保证 ”准则 ) 进 行 
广泛 陈述 。 虽然 随 着 时 间 阶 段 的 推移 ,安全 目标 并 非 完 全 静止 不 动 ,但 却 应 当 以 一 种 大 范 
围 .长 时 期 使 用 的 观点 提出 安全 目标 一 一 从 而 可 以 作为 许多 不 同系 统 的 安全 风险 分 析 及 
产品 和 过 程 规 划 的 稳定 平台 。 这 些 系统 可 能 出 现在 有 效 时 间 跨 度 内 的 特定 业务 或 工作 环 
境 中 。 一 般 说 来 ,安全 目标 最 好 由 系统 用 户 陈述 ,但 信息 安全 工程 小 组 应 当 理解 安全 目标 
的 细节 ,并且 在 用 户 需要 时 提供 帮助 。 当 用 户 没有 陈述 出 安全 目标 时 ,信息 安全 工程 小 组 

应 当 能 够 通过 回溯 追踪 需求 的 层次 结构 抽取 出 与 指定 获取 建议 最 为 相关 的 绝 大 部 分 ( 安 

全 ) 目标 ,以 发 现 客户 的 基本 安全 理由 和 最 终 安 全 目标 。 

安全 目标 可 以 适用 于 业务 的 多 方面 或 某 个 部 分 。 一 个 具体 安全 目标 的 理由 说 明 ,应 
当 对 那些 得 到 安全 目标 支持 的 业务 进行 文档 化 描述 。 同 样 , 当 业务 功能 被 分 配 到 业务 环 
境内 的 单个 系统 时 ,安全 目标 可 以 不 同 程度 地 适用 于 使 用 中 或 在 任 一 特定 时 间 点 获取 线 
上 该 系统 的 多 个 (或 只 有 一 个 独立 ) 的 子 系统 甚至 该 系统 本 身 。 依 据 给 定 的 系统 获取 项 目 
的 前 后 情况 , 某 些 安全 目标 可 以 分 配给 尚未 计划 的 未 来 工作 项 目 ; 分 配给 整个 过 程 解决 方 
案 ; 分 配给 接口 需求 和 限制 ,这 些 需 求 和 限制 与 正 获取 系统 将 要 工作 的 环境 中 的 基础 设施 
或 其 他 系统 相关 ;或 分 配给 更 间接 的 环境 假设 条 件 。 作 为 今后 系统 能 力 需 求 和 要 求 定义 
的 一 部 分 ,对 表述 的 安全 目标 和 基本 理由 陈述 应 该 建立 有 效 的 可 跟踪 性 。 

安全 目标 如 图 4-4 所 示 , 它 显示 了 在 开发 安全 目标 和 基本 理由 说 明 过 程 中 业务 信息 、 
通用 性 威胁 指南 和 综合 安全 指南 之 间 的 关系 ,并 图 解说 明 其 基本 理论 ,包含 基于 安全 目标 
进行 推理 阐述 和 解释 的 信息 (图 4-4 中 所 示 跨 系统 的 业务 安全 目标 的 前 后 文中 的 许多 原 
则 ,也 可 按 迭 代 方式 应 用 于 以 后 更 为 具体 的 系统 的 需求 分 析 )。 理 由 说 明 应 当 提 供 对 需要 
某 些 安全 保护 的 理解 ,并 抓 住 安全 目标 与 如 下 各 项 之 间 的 关系 : 受到 安全 目标 支持 的 业 
务 目标 、 激 发 安全 目标 与 业务 相关 的 威胁 \ 不 实现 安全 目标 的 后 果 , 以 及 驱动 或 支持 适 
于 安全 目标 的 综合 安全 指南 。 

在 以 后 的 体系 结构 开发 .系统 设计 、 系 统 实现 和 安全 风险 管理 活动 期 间 , 可 以 参考 上 
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述 这 些 理由 说 明和 关系 ,指导 有 关 的 安全 性 分 析 。 

4. 安全 服务 分 类 

安全 服务 应 当 考 虑 与 业务 需求 和 威胁 密切 相关 ,其 中 威胁 是 在 系统 阐述 安全 目标 和 
安全 需求 过 程 中 的 根据 。 对 安全 服务 是 进行 单独 考虑 还 是 进行 综合 考虑 ,取决 于 业务 需 
求 .威胁 和 安全 的 综合 指南 。 以 下 提供 了 可 作 参 考 的 安全 服务 ,这 些 安全 服务 的 意义 和 配 
置 使 用 应 在 适当 时 候 参 考 信息 安全 工程 小 组 或 客户 小 组 机 构 所 习惯 或 指定 的 有 关 标准 。 

机 密 性 (Confidentiality) : 提供 对 未 授权 泄露 的 保护 服务 。 

访问 控制 (Access Control) : 为 防止 未 经 授权 使 用 资源 提供 保护 (例如 使 用 通信 资源 ， 
读 出 、 写 人 或 删除 信息 资源 和 操作 运行 中 的 资源 等 ) 。 

完整 性 (Integrity) : 对 抗 主动 威胁 ,确保 信息 准确 而 且 无 任何 变化 地 被 传送 。 

数据 完整 性 (Data Integrity) : 提供 对 不 经 意 地 算 改 或 销毁 数据 、 恶 意 地 销毁 或 算 改 
数据 的 保护 。 

系统 完整 性 (System Integrity) : 保护 信息 系统 资源 不 受 算 改 或 误 用 的 危害 。 

鉴别 (Authentication) : 对 用 户 、 用 户 设备 和 其 他 实体 进行 有 效 性 验证 和 真实 性 证 实 ， 
或 对 被 存储 或 被 传输 信息 的 完整 性 提供 保证 。 

可 用 性 (Availability) : 保证 信息 能 按 用 户 所 需 的 地 点 .时 间 和 形式 被 提供 。 

不 可 抵赖 性 (Non-Repudiation) : 向 信息 接收 方 提 供 源 发 证 明 以 防止 发 送 方 否认 发 送 
过 信息 或 其 内 容 , 同 时 也 可 向 信息 发 送 方 提供 递交 证 明 以 防止 接收 方 否认 收 到 过 信息 或 
其 内 容 。 

安全 管理 (Security Management) : 这 项 服务 关注 对 业务 的 安全 方面 进行 支持 和 控制 
所 需 的 操作 。 

5. 信息 流向 及 功能 和 价值 

了 解 系统 及 其 所 处 理 信息 的 安全 临界 状态 也 是 非常 重要 的 。 应 该 重视 由 于 系统 资源 
或 系统 所 处 理 信息 的 表 失 ,泄露 或 被 修改 而 对 业务 、 人 的 生命 和 开销 (金钱 和 时 间 ) 所 产生 


BZ. 信息 安全 工程 


的 影响 。 为 了 定义 恰当 的 安全 目标 、 能 力 需求 ,以 及 有 效 地 表达 用 户 所 需 安全 的 系统 需 
求 ,必须 识别 和 分 析 由 系统 处 理 或 存储 信息 的 功能 、 流 向 和 价值 。 系 统 使 用 信息 的 途径 
(功能 ) ,信息 如 何 通 过 和 进 / 出 系统 元 素 ( 流 向 )、 信 息 对 于 系统 运行 和 业务 在 一 般 情 况 下 
的 机 密 (敏感 ) 性 和 重要 性 (价值 ), 所 有 这 些 在 反复 开发 系统 安全 需求 中 都 是 极其 重要 的 
因素 。 在 近期 未 对 业务 信息 的 安全 分 类 进行 仔细 研究 的 地 方 , 或 者 未 明确 对 业务 信息 的 
安全 进行 分 类 ,或 者 分 类 过 分 详细 、 分 类 过 分 粗糙 ,这 时 信息 安全 工程 小 组 宁可 使 用 用 户 
目前 的 分 类 等 级 评估 来 支持 客户 和 终端 用 户 , 也 不 要 从 头 开 始 , 对 其 他 类 似 的 重要 性 、 敏 
感性 分 类 评估 也 照 此 办 理 。 


4.2.3 安全 需求 定义 概述 


1. 同安 全 有 关 的 运行 需求 分 析 

用 文档 确认 一 个 系统 初始 的 安全 能 力 需求 极其 重要 ,这 样 有 助 于 负责 系统 开发 的 人 
了 解 必 须 完成 的 作业 。 业 务 和 和 运行 需求 是 对 用 户 需求 的 说 明 , 并 且 必 须 用 来 指导 项 目 办 
事 机 构 和 工程 小 组 进行 后 续 开发 工作 。 信 息 安全 工程 应 当 尝 试 帮助 用 户 在 适当 的 时 候 生 
成 安全 能 力 需求 和 和 运行 需求 说 明 ,但 应 当 善 于 理解 用 户 用 他 们 自己 的 名 词 术语 和 优先 权 
所 表达 的 需求 愿望 。 最 重要 的 问题 是 ,所 有 涉及 的 人 或 机 构 ( 例 如 用 户 、 获 取 机 构 `CA 代 
表 、 信 息 安全 工程 小 组 ) 要 意识 到 这 些 都 是 用 户 自 己 的 需求 ,而 非 项 目 办 事 机 构 或 工程 人 
员 的 需求 。 所 陈述 的 安全 能 力 需 求 集 , 应 当 包含 针对 系统 的 最 高 级 别 的 安全 需求 。 它 们 
应 当 是 从 相关 安全 目标 和 指令 、 特 定 业务 问题 ,以 及 把 业务 资源 置 于 风险 之 下 的 安全 威胁 
分 析 的 最 高 级 别 的 信息 中 推导 出 来 的 。 安 全 能 力 需求 将 影响 到 在 未 来 系统 内 如 何 管理 、 
保护 和 分 发 信息 ,影响 到 信息 如 何 同 其 他 系统 接口 。 安 全 能 力 需求 应 当 以 与 实现 无 关 的 
方式 ,以 不 含 专业 化 信息 系统 安全 术语 的 方式 ,在 适当 的 高 等 级 抽象 屋 上 予以 表述 。 

为 了 对 来 自 广泛 业务 能 力 需 求 中 与 安全 相关 的 系统 运行 需求 进行 更 为 充分 的 定义 ， 
信息 安全 工程 小 组 应 当 对 业务 能 力 需 求 . 国 家 的 、 本 地 的 和 商业 企业 的 适用 安全 政策 , 业 
务 目 标 / 安 全 目标 以 及 业务 威胁 进行 评审 。 通 过 对 业务 的 了 解 , 信 息 安 全 工程 小 组 应 当 注 
意识 别 在 其 运行 环境 内 对 系统 的 安全 威胁 。 信 息 安全 工程 小 组 要 利用 为 “系统 威胁 评估 
报告 "所 准备 的 威胁 信息 以 及 其 他 资源 (例如 信息 系统 安全 威胁 专家 把 威胁 运用 到 系统 上 
时 的 信息 ) ,确定 安全 能 力 或 防御 这 些 威胁 所 必需 的 对 抗 措施 。 

一 般 说 来 ,支持 信息 安全 工程 小 组 分 析 所 必需 的 信息 可 在 各 种 系统 文件 内 找到 ,只 是 
各 有 不 同 的 详细 程度 .精确 度 .用户 支 持 度 以 及 作为 获取 进程 的 成 热度 而 已 。 对 于 MNS， 
信息 安全 工程 小 组 希望 这 些 信 息 和 对 这 些 信息 的 任何 分 析 信 息 , 是 稍微 口语 化 并 且 被 高 
度 抽 象 的 。 在 概念 和 需求 阶段 ,开发 工作 将 转 入 需求 的 进一步 分 解 , 文 件 编制 ,并 以 运行 
需求 说 明 形式 中 的 需求 为 最 终 需 求 基线 和 系统 需求 规范 。 随 着 需求 的 成 熟 和 修改 ,提高 
精度 、 详 细 度 和 分 析 的 密度 ,规范 的 形式 以 及 配置 控制 的 维护 将 变 得 十 分 清楚 。 在 确定 系 
统 的 安全 需求 时 ,对 可 用 信息 的 评审 和 分 析 、 对 政策 和 规则 进行 评审 的 结果 ,都 是 十 分 有 
价值 的 。 

为 了 给 一 个 系统 概念 定义 恰当 的 运行 安全 需求 ,对 信息 安全 工程 小 组 同样 重要 的 是 
理解 其 他 适用 的 ( 非 安 全 ) 能 力 目 标 ,以 及 为 满足 总 体能 力 需 求 而 制定 的 获取 范围 (成 本 、 
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进度 、 风 险 ,、 组 队 方 式 )。 为 了 取得 成 功 .所 有 这 些 都 必须 处 于 平衡 状态 。 在 开始 正式 的 工 
程 需求 分 析 之 前 ,安全 能 力 需求 必须 转换 为 一 组 运行 功能 需求 和 性 能 需求 与 约束 。 

2. 信息 安全 工程 需求 活动 

在 帮助 客户 确定 安全 能 力 需 求 之 后 ,信息 安全 工程 小 组 作为 总 体系 统 工程 小 组 的 一 
部 分 ,继续 进行 更 加 正式 的 需求 分 析 。 信 息 安全 工程 小 组 的 需求 分 析 活 动 应 该 从 评审 和 
更 新 先前 的 分 析 ( 业 务 ,威胁 等 ) 开 始 ,提炼 出 业务 和 环境 定义 ,从 而 支持 对 每 一 项 功能 建 
立 起 安全 需求 。 信 息 安全 工程 还 应 当 理 解 在 其 他 功能 领域 所 进行 的 分 析 , 例 如 那些 与 运 
行 和 支持 工程 功能 相关 的 领域 ,以 及 由 其 他 专家 (例如 安全 工程 师 . 软 件 工 程 师 和 业务 应 
用 专家 等 ) 所 进行 的 分 析 。 

随 着 安全 需求 从 项 层 需求 向 更 精确 的 具体 需求 转化 ,必须 对 它们 作出 最 充分 的 定义 ， 
以 使 系统 概念 和 体系 结构 的 可 选择 方案 能 够 得 到 开发 ,并 能 在 集成 的 并 发 工作 过 程 内 进 
行 比较 。 由 于 对 可 选择 概念 已 进行 了 研究 ,所 以 将 在 恰当 的 时 候 完成 对 每 个 不 同 概念 的 
需求 分 析 。 从 安全 目标 、 国 家 政策 和 整个 设计 过 程 的 其 他 输入 中 反复 地 导出 系统 、 后 继 的 
配置 项 目 (CT) 和 组 件 安全 需求 的 过 程 ,如 图 4-5 所 示 。 


任务 信息 | 威胁 分 析 | 法规 和 政策 
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图 4-5 安全 需求 的 开发 


信息 安全 工程 必须 协同 客户 分 析 安 全 需求 ,从 而 确定 这 些 需 求 是 否 确实 是 有 效 的 需 
求 。 除 了 仔细 研究 各 个 需求 说 明 外 ,还 必须 仔细 地 研究 整个 安全 需求 的 完整 性 ,不 一 致 性 
和 相互 依赖 性 。 有 效 的 需求 说 明 , 即 是 对 有 关系 统 功能 \ 性 能 需求 的 或 者 设计 限制 的 简单 
的 、 非 歧义 的 和 可 验证 的 陈述 。 安 全 需求 还 必须 说 明 使 需求 有 效 的 条 件 。 除 了 必须 确定 
限制 外 ,安全 需求 的 陈述 不 须 说 明 如 何 实现 系统 产品 和 过 程 方案 。 正 确 的 需求 陈述 对 系 
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统 的 验证 和 证 实 是 极其 重要 的 ,它们 提供 了 判断 系统 的 简明 而 精确 的 尺度 。 安 全 需求 是 
设计 、 实 现 、 验 证 和 证 实 的 基础 。 对 任何 需要 提请 审批 的 .对 安全 需求 和 其 他 相互 关联 需 
求 的 修改 ,都 应 当 仔细 地 研究 这 些 修改 可 能 对 设计 系统 安全 风险 的 影响 。 

向 系统 中 的 各 种 设备 提供 密 钥 的 需求 , 即 是 一 例 经 过 推导 所 得 到 的 安全 需求 : 这 一 
需求 的 存在 是 隐 含 的 ,直到 为 支持 特定 系统 安全 需求 提供 机 密 性 服务 而 做 出 选取 加 密 方 
法 的 决策 时 ,这 一 需求 才 明显 地 被 提出 来 。 这 个 决策 改变 了 系统 的 前 后 环境 关系 ,产生 了 
一 个 新 的 界面 、 一 个 新 的 数据 敏感 度 类 型 ( 即 密 钥 ) 和 相关 需求 (例如 密 钥 管理 ) 。 

随 着 系统 体系 结构 的 改进 ,必须 不 断 地 评审 和 提炼 安全 需求 ,借以 确保 继续 有 效 地 以 
安全 需求 的 规范 形式 提交 系统 的 安全 需求 ,推动 系统 设计 。 随 着 系统 安全 需求 的 提炼 和 
形式 化 过 程 的 不 断 深入 ,以 及 系统 设计 的 雏形 出 现 , 各 个 配置 项 目的 详细 安全 需求 也 从 形 
式 化 的 系统 级 需求 和 规范 中 被 提炼 出 来 。 

3. 安全 性 能 和 保障 需求 

信息 安全 工程 小 组 还 必须 识别 同安 全 功能 性 需求 目标 相关 联 的 性 能 需求 ,这 通常 应 
当 采 用 若干 种 需求 表达 形式 。 

1) 功能 /性 能 需求 

对 与 功能 性 安全 需求 相连 的 性 能 需求 ,可 以 在 条 件 允 许 的 情况 下 直接 写 出 ,或 者 参照 
初步 设计 过 程 中 的 与 已 定义 安全 保证 类 相关 联 的 开发 条 款 来 确定 。 例 如 ,合约 规范 中 的 
一 个 需求 可 陈述 为 

“除了 指定 的 监督 小 组 内 的 特许 用 户 之 外 ,系统 将 阻止 其 他 人 改动 职员 的 工资 记录 ; 
这 一 能 力 需求 将 在 不 低 于 中 等 保证 的 级 别 上 提供 。” 

“除了 两 个 或 多 个 指定 的 特权 维护 人 员 可 以 修改 之 外 ,还 要 求 他 们 在 请 求 改动 之 前 ， 
每 一 位 都 要 即时 正确 完成 必要 的 鉴别 程序 ,否则 系统 将 阻止 其 他 人 员 非 法 改动 核反应 堆 
的 安全 警戒 线 。 这 个 能 力 需求 将 在 不 低 于 超 高 (Super-high) 保 证 级 别 上 提供 。” 

2) 设计 需求 

随 着 系统 功能 被 分 解 ,在 安全 保证 规划 中 形成 的 负面 事件 清单 也 被 分 解 。 信 息 安 全 
工程 审视 每 个 子 功能 的 潜在 错误 特性 ,并 把 这 些 负面 事件 映射 到 先前 确定 的 安全 保证 级 
别 上 。 当 分 解 完 成 时 , 便 可 以 对 每 个 最 低层 子 功能 分 配 设计 需求 所 需 的 信任 级 别 。 软 件 
设计 需求 的 一 个 示例 是 : 

“AUDIT2. 1 安全 审计 子 功 能 软件 将 被 实现 为 IAW 安全 保证 级 别 PRETTY- 
GOOD, 正 如 在 “TRUS-ME 软件 开发 计划 ”中 所 定义 的 。” 

一 个 与 需求 规范 相关 的 活动 就 是 从 安全 角度 进行 的 “可 测试 ”, 并 对 适当 验证 这 些 需 
求 规范 进行 识别 一 一 不 仅 包 括 所 选择 的 手段 ,也 包括 所 需 验 证 的 严密 程度 和 强度 。 


4.2.4 ”先期 概念 阶段 和 概念 阶段 一 一 信息 安全 工程 的 需求 活动 


在 这 些 阶 段 , 信 息 安 全 工程 小 组 要 在 如 前 所 述 总 体 业 务 能 力 需 求 和 运行 需求 定义 的 
范围 内 ,支持 面向 用 户 的 运行 安全 需求 的 定义 ,包括 必要 的 安全 约束 。 这 些 早期 阶段 的 着 
重点 是 : 使 用 用 户 语言 准确 地 抓 住 用 户 的 项 层 安全 需求 和 约束 ;识别 和 解决 信息 系统 安 
全 需求 和 其 他 系统 需求 之 间 的 相互 依赖 性 和 折 中 方案 ,包括 接口 /环境 驱动 的 需求 ;并 同 
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其 他 系统 工程 小 组 成 员 一 道 ,确定 在 可 接受 资源 约束 和 技术 可 行 性 范围 内 ,能 对 总 体 业 务 
需求 定义 相应 的 最 恰当 的 系统 概念 。 在 正常 情况 下 至 少 要 对 正在 系统 地 阐述 和 分 析 的 每 
一 个 系统 概念 开发 出 一 组 粗略 的 预期 需求 。 对 于 已 采用 的 概念 ,这 种 早期 的 需求 集合 将 
被 变换 为 经 过 批准 的 运行 需求 文件 ,用 于 说 明 功 能 和 性 能 需求 。 关 键 目标 是 保证 所 定义 
的 系统 安全 需求 集合 是 必 不 可 少 的 和 充分 的 (在 保证 系统 获取 和 用 户 /发 起 人 组 织 之 间 的 
相互 理解 和 认同 的 级 别 上 ) 。 

信息 安全 工程 小 组 也 应 当 开 始 和 交叉 学 科 系 统 工程 小 组 的 其 他 成 员 协 同 工 作 , 以 确 
定 和 了 解 所 有 系统 需求 中 那些 将 以 信息 安全 工程 小 组 为 主导 的 需求 子 集 , 信 息 安 全 工程 
小 组 将 要 与 系统 工程 师 或 与 一 个 (或 多 个 ) 非 信息 系统 安全 专家 (如 其 他 的 安全 ,保护 、 人 
员 因素 或 可 靠 性 专家 ) 分 担 信息 安全 工程 合作 责任 的 需求 子 集 , 并 分 担 那些 与 信息 安全 工 
程 小 组 的 活动 没有 直接 关系 的 责任 。 

到 概念 阶段 完结 的 时 候 , 项 目的 技术 范围 .成 本 范围 和 进度 范围 .粗略 的 系统 运行 概 
念 和 体系 结构 .ORD 运行 需求 文档 、 获 取 和 工程 管理 计划 、 顶 层 验 证 计划 (Test and 
Evaluation Master Plan,TEMP) 以 及 后 勤 支持 计划 等 ,其 初级 形式 应 当 全 部 被 确定 下 来 。 


4.2.5 ”需求 阶段 一 一 信息 安全 工程 的 需求 活动 


在 这 个 阶段 ,系统 工程 师 通 过 完成 初步 的 正规 化 分 析 和 规范 来 确定 系统 需求 的 基线 ， 
在 “系统 需求 评审 )” 中 ,这 些 需 求 将 获得 批准 ,并 制定 出 系统 规范 草案 。 该 需求 将 定义 系 
统 必须 完成 的 功能 和 受到 的 约束 。 系 统 规范 反映 这 些 系 统 需 求 在 一 系列 功能 领域 的 配 
置 ,例如 数据 管理 安全、 可 靠 性 和 可 维护 性 ,用户 接 口 等 。 系 统 规范 也 可 以 包含 这 些 需求 
在 建议 的 子 系统 或 组 件 配 置 项 初始 的 顶层 功能 性 配置 。 系 统 工程 师 将 设置 一 个 过 程 , 以 
提供 系统 需求 规范 和 早期 系统 运行 需求 及 能 力 需求 说 明之 间 的 可 跟踪 性 。 

在 这 个 阶段 期 间 ,信息 安全 工程 小 组 将 为 批准 基线 而 设法 准备 好 安全 需求 ,并 向 系统 
规范 草案 提供 信息 系统 安全 相关 的 输入 。 信 息 安 全 工程 小 组 应 当 评 审 和 提炼 包含 在 
ORD 中 的 安全 需求 ,保证 它们 同 其 他 的 系统 需求 相 一 致 和 兼容 。 如 果 必 要 的 话 , 信 息 安 
全 工程 小 组 应 当 能 够 审查 和 修正 先前 的 分 析 ( 业 务 ,威胁 等 )。 完 成 这 些 活动 是 为 安全 需 
求 评审 作 准 备 。 

在 开发 给 系统 规范 的 安全 输入 中 ,信息 安全 工程 小 组 应 当 把 安全 需求 分 配给 最 初 的 
系统 体系 结构 ,并 为 由 系统 体系 结构 确定 的 内 部 和 外 部 的 接口 及 协议 建立 安全 需求 。 信 
息 安 全 工程 小 组 应 当 审查 这 些 安全 需求 ,并 包括 适当 场合 可 用 的 安全 需求 集 .与 技术 参考 
模型 相关 的 设计 限制 ,以 及 与 正在 开发 的 系统 有 关 或 有 利 的 标准 轮廓 。 标 准 轮廓 包括 文 
本 指南 (准则 ) 以 及 规定 数据 交换 格式 .联网 协议 和 类 似 事情 的 各 种 技术 标准 。 在 多 数 情 
况 下 ,为 了 互 操作 性 或 别 的 原因 ,各 种 正式 的 或 事实 上 的 单个 系统 标准 、 一 个 或 多 个 完整 
的 标准 轮廓 ,将 由 客户 组 织 强制 执行 。 

信息 安全 工程 小 组 应 当 保证 安全 需求 有 效 地 反映 客户 的 安全 需求 ,并 且 可 直接 地 跟 
踪 到 先前 的 需求 层次 体系 ( 即 MNS 和 ORD)。 至 此 ,信息 安全 工程 小 组 还 应 当 识别 出 需 
要 开发 的 新 技术 ,开始 监控 新 技术 的 开发 进程 ,确保 它们 符合 预期 的 目标 ,满足 预期 的 安 
全 需求 。 
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4.2.6 系统 设计 阶段 一 一 信息 安全 工程 的 需求 活动 


系统 工程 师 将 在 这 个 阶段 完成 系统 的 基本 设计 。 这 是 通过 把 需求 分 配给 体系 结构 中 
标识 的 CI 集合 来 完成 的 。 这 种 分 配 在 系统 规范 中 用 文档 予以 确认 ,在 系统 功能 评审 中 被 
确认 为 基准 并 加 以 批准 。 此 外 ,CI 规范 草案 也 是 在 这 个 阶段 产生 的 。 

信息 安全 工程 小 组 应 当 保 证 系统 规范 、 充 分 地 表达 出 安全 需求 ,这 一 点 通过 回溯 规范 
直到 规范 获得 批准 的 安全 需求 评审 阶段 即 可 得 到 保证 。 信 息 安全 工程 小 组 还 应 当 完 成 系 
统 规范 并 在 确认 为 基线 之 前 ,审查 信息 系统 安全 相关 的 验证 和 证 实 需求 。 这 些 活动 都 是 
在 系统 功能 评审 的 支持 下 完成 的 。 这 些 已 被 确定 为 基线 的 需求 及 它们 的 配置 在 ORD2 
文档 中 被 确认 。 验 证 和 证 实 需求 在 适当 文档 中 被 确认 ,诸如 TEMP(Test and Evaluation 
Master Plan) 、ORD2 (Operational Requirements Document)、 系 统 规 范 或 者 SOW 等 
文档 。 

信息 安全 工程 小 组 应 当 领 导 和 审查 对 CI 的 信息 系统 安全 需求 和 服务 的 配置 ,并 在 
CI 规范 草案 中 对 这 些 配置 进行 归档 。 信 息 安 全 工程 小 组 还 应 当 审查 已 完成 的 技术 开发 
工作 项 目 成 果 , 以 保证 它们 符合 目标 ,满足 预期 的 系统 安全 需求 。 


4.2.7 ”从 初步 设计 到 配置 审计 阶段 一 一 信息 安全 工程 的 需求 活动 


通过 初步 设计 评审 ,应 当 全 面 定义 CI 和 接口 ,提交 CI 和 接口 的 安全 需求 以 及 相关 联 
的 验证 条 款 , 这 是 系统 配置 基线 的 一 部 分 。 信 息 安全 工程 小 组 应 当 仔细 地 研究 CI 规范 和 
接口 规范 ,保证 整体 系统 在 被 集成 进 子 系统 和 系统 配置 中 时 符合 总 的 系统 安全 需求 ,并 且 
协调 纠纷 和 相互 之 间 的 依赖 关系 。 其 中 的 部 分 活动 是 对 CI 和 接口 规范 中 的 安全 需求 回 
溯 到 系统 级 的 需求 。 信 息 安 全 工程 小 组 应 当 保证 系统 中 的 接口 和 协议 满足 它们 的 安全 需 
求 。 信 息 安 全 工程 小 组 在 这 些 阶段 中 通过 CI 和 组 件 设 计 过 程 跟踪 这 些 需求 ,参与 或 密切 
地 监控 验证 活动 (例如 设计 论证 和 试验 ), 以 保证 系统 在 总 体 上 符合 它 的 安全 需求 。 在 最 
后 阶段 (配置 审计 ) ,信息 安全 工程 小 组 应 当 把 实现 后 的 系统 设计 与 系统 文档 进行 比较 , 保 
证 开发 过 程 是 成 功 的 。 

为 了 评估 系统 组 件 的 恰当 性 ,必须 证 明 分 配给 这 些 功 能 组 件 和 物理 组 件 的 安全 需求 
都 被 满足 。 通 过 人 工 维护 的 需求 验证 可 跟踪 性 模板 或 使 用 自动 化 的 需求 处 理工 具 , 信息 
安全 工程 小 组 应 能 够 确定 分 配给 每 个 系统 组 件 的 安全 需求 ,并 仔细 地 研究 决策 线索 ,以 帮 
助 判 断 在 这 些 阶 段 中 可 能 提出 或 需要 的 需求 变动 。 这 些 阶 段 以 公告 系统 及 其 CI 的 “产品 
基线 ?而 宣告 结束 ,公告 应 当 包含 每 个 CI 在 其 被 建设 .试验 和 审计 时 对 它 的 初始 功能 、 性 
能 和 物理 的 需求 。 也 可 以 认为 “产品 基线 ?包含 基准 的 设计 需求 , 即 按照 对 产品 的 要 求 进 
行 “ 建 设 “ 编 码 ” 和 “购买 ”, 以 及 “如 何 实施 ”对 过 程 的 需求 。 


4.3 安全 设计 支持 


通过 安全 设计 支持 功能 和 更 广泛 的 总 体系 统 设 计 的 前 后 关联 ,一 个 被 选择 的 系统 体 
系 结构 可 被 公式 化 ,并 转换 为 稳定 的 、 可 生产 的 和 有 好 的 经 济 效益 的 系统 设计 。 对 信息 系 
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统 而 言 ,这 种 转换 通常 包括 软件 开发 和 软件 设计 ,还 可 能 包括 信息 数据 库 或 知识 库 的 
设计 。 

“安全 体系 结构 "只 是 从 安全 的 角度 对 整个 系统 体系 结构 的 一 个 简单 视图 。 它 提供 了 
对 那些 能 满足 系统 需求 的 安全 服务 、 安 全 机 制 和 安全 特性 的 深刻 理解 ,以 及 在 整个 系统 结 
构 的 上 下 文 关联 中 ,安全 机 制 应 该 配置 的 地 点 建议 。 系 统 体系 结构 的 安全 视图 将 集中 在 
系统 安全 服务 和 高 级 安全 机 制 上 ,分 配 与 安全 有 关 的 功能 到 系统 配置 项 .接口 和 较 低级 的 
组 件 ,确认 与 安全 有 关 的 组 件 、 服 务 和 机 制 之 间 的 相互 依赖 性 ,解决 它们 之 间 的 冲突 。 安 
全 视图 仅仅 是 许多 信息 系统 体系 结构 视图 中 的 一 种 ,诸如 数据 管理 视图 、 物 理 连 接 视 图 或 
网 络 拓展 视图 。 


4.3.1 系统 设计 


1. 系统 功能 的 目标 实现 

构成 系统 开发 (不 管 是 做 还 是 买 ) 的 两 条 主线 ,是 确定 系统 必须 实现 什么 样 的 功能 ,以 
及 确定 系统 怎样 实现 这 些 功能 。 尽 管 这 两 条 线 贯 穿 于 并 发 工程 模型 的 整个 生命 周期 。 但 
是 在 生命 周期 的 不 同 阶段 ,总 有 一 条 线 占 支配 地 位 。 理 想 地 说 ,系统 工程 生命 周期 的 “ 先 
期 概念 “概念 "和 “需求 "阶段 基本 上 主要 解决 什么 ”的 问题 ( 即 “ 需 求 ”) ,而 从 “初步 设计 
阶段 "到 “实现 阶段 "再 到 “测试 阶段 " 则 主要 回答 “怎样 "的 问题 ( 即 “ 实 现 ”)。 这 两 条 线 的 
关键 性 联系 是 在 第 四 阶段 , 即 “ 系 统 设计 ”阶段 ,该 阶段 中 ,设计 了 系统 级 解决 方案 以 达到 
所 需要 的 业务 能 力 。 

在 现实 世界 中 ,任何 事情 并 不 如 此 简明 和 清晰 ,实施 决策 有 时 受 需求 的 制约 ,而 到 实 
施 的 最 后 一 步 才 清楚 需要 一 些 新 的 需求 或 对 设计 进行 修正 。 设 计 的 过 程 是 迭代 和 周期 性 
的 过 程 , 它 可 扩展 到 系统 整个 生命 周期 中 的 诸多 阶段 。 过 程 也 是 可 变 的 和 可 调整 的 ,设计 
者 可 用 的 知识 越 多 ,过 程 设 计 就 越 有 效 , 即 需要 更 少 的 步骤 ,更 少 的 回溯 。 在 许多 情况 下 ， 
一 个 项 目 虽 不 从 最 初 的 画 线 开 始 ,但 是 ,将 对 现 有 系统 中 限制 设计 的 部 分 进行 重大 的 修 
改 。 在 另外 一 些 情况 下 ,一 个 工程 项 目 建设 的 仅仅 是 第 一 批 许多 系统 的 增值 项 ,并 将 定义 
可 能 约束 支持 未 来 设计 的 一 个 基础 体系 结构 。 

2. 系统 功能 的 工具 实现 

可 以 使 用 自动 工具 使 设计 过 程 更 加 精细 ,这 些 自动 工具 还 允许 设计 师 将 项 层 体 系 结 
构 分 解 和 提炼 成 更 详细 的 设计 。 其 中 的 某 些 工具 提供 对 限制 ,模型 和 测试 候选 体系 结构 
及 设计 的 辨别 ,帮助 进行 折 中 分 析 。 最 近 的 研究 把 注意 力 集中 在 应 用 正规 方法 的 原理 和 
技术 上 ,特别 是 应 用 于 需要 高 等 级 保证 的 系统 上 ,例如 “可 信和 软件 开发 方法 学 (Trusted 
Software Development Methodology. TSDM) ”. 

作为 项 目 阶 段 的 一 个 功能 ,系统 设计 活动 将 进行 反复 研究 和 阐明 。 

1) 系统 和 CI 级 功能 体系 结构 

它 是 一 种 功能 的 体系 安排 ,包括 对 它们 的 内 部 和 外 部 功能 接口 .外 部 的 物理 接口 ` 它 
们 分 别 的 功能 和 性 能 的 需求 以 及 它们 的 设计 限制 的 分 层 安排 。 

2) 系统 和 CI 级 物理 体系 结构 

它 是 一 种 关于 产品 和 过 程 解决 方案 ,包括 对 它们 的 功能 和 性 能 需求 .它们 的 内 部 和 外 
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部 功能 、 物 理 的 接口 及 要 求 .形成 设计 需求 的 基础 性 物理 限制 的 分 层 安 排 。 物 理 体 系 将 一 
个 或 多 个 物理 设计 形成 文档 ,以 完成 有 效 性 分 析 、 风 险 分 析 和 技术 过 渡 计 划 ; 确 立 物理 上 
实现 功能 体系 结构 的 可 行 性 ,识别 制造 ,验证 ,支持 和 培训 需求 ;编制 原型 配置 的 文档 和 其 
他 测试 文件 ;逐渐 详细 地 定义 认为 是 必需 的 解决 方案 。 

“功能 ”划分 可 通过 构造 化 的 、 面 向 对 象 的 或 其 他 方法 来 实现 。 


4.3.2 信息 安全 工程 系统 设计 支持 活动 


在 开发 功能 和 物理 体系 结构 期 间 , 信 息 安 全 工程 小 组 通过 提供 安全 分 析 和 建议 来 支 
持 客户 。 这 种 开发 在 系统 的 整个 生命 期 内 涉及 若干 阶段 和 事件 ,并 且 通 常 是 反复 进行 的 
过 程 。 信 息 安 全 工程 要 识别 “怎样 "反映 用 客户 语言 表达 出 的 系统 需求 。 在 使 设计 支持 项 
目 增值 的 任何 技术 阶段 或 问题 领域 ,信息 安全 工程 小 组 都 应 考虑 使 用 仿真 . 建 模 或 快速 原 
型 法 迅速 开发 技术 。 

对 许多 设计 类 型 的 分 析 , 将 系统 和 CI 安全 需求 看 作 与 各 类 安全 服务 相关 联 是 有 益 
的 ,然后 再 把 这 些 服务 映射 为 相关 的 安全 机 制 。 这 样 做 ,对 另外 一 些 项 目 可 能 有 帮助 也 可 
能 没有 帮助 。 例 如 ,有 些 项 目 要 求 集中 开发 新 的 应 用 中 独 有 的 软件 或 硬件 ,而 为 它们 选择 
的 “可 重用 性 ?标准 的 安全 协议 和 机 制 就 很 少 会 用 到 。 当 信息 安全 工程 小 组 期 待 实现 安全 
服务 时 ,可 以 考虑 将 目标 安全 体系 结构 (Goal Security Architecture,GSA) 的 原理 作为 对 
系统 体系 结构 的 安全 解决 方案 配置 的 指南 。 下 面 是 GSA 中 可 用 的 项 目 主题 : 

GSA 安全 需求 一 一 策略 ,需求 ,导出 的 需求 ; 
安全 角度 和 概念 ; 

端 系统 和 中 继 系统 ; 

安全 管理 关系 和 概念 ; 

传输 系统 主题 ; 

安全 学 说 一 一 提供 安全 服务 的 安全 机 制 学 说 ; 
商业 现货 考虑 。 

信息 安全 工程 小 组 将 根据 正在 结合 使 用 的 解决 方案 所 存在 的 安全 风险 ,加 上 以 前 的 
经 验 和 教训 ,对 体系 结构 进行 研究 。 信 息 安全 工程 小 组 活动 的 重点 是 识别 正在 开发 的 体 
系 结构 的 脆弱 性 ,并 建议 对 抗 措施 和 可 选择 方案 。 系 统 可 用 不 同 的 保护 措施 ( 即 机 制 的 类 
型 和 特殊 的 实现 方法 ,不 管 是 “制造 还 是 “购买 ”来 满足 安全 需求 。 如 果 两 个 或 更 多 个 系 
统 需要 相互 作用 ,那么 必须 建立 接口 协议 和 规则 以 允许 其 相互 作用 。 当 个 别 的 系统 具有 
不 同 的 安全 策略 、 安 全 需求 或 在 本 地 社区 受到 运行 限制 ,或 者 当 新 的 连接 可 能 引起 某 些 附 
加 安全 风险 ,与 现 有 系统 或 基础 设施 有 冲突 时 ,特别 需要 建立 接口 协议 和 规则 。 在 这 些 情 
况 下 ,需要 一 些 折 中 分 析 和 协商 以 支持 相互 作用 。 

在 系统 开发 之 后 再 添加 没有 预先 规划 的 保护 措施 或 对 抗 措施 时 ,实现 起 来 一 般 非常 
昂贵 和 困难 ,而 且 可 能 并 不 是 最 有 效 的 方法 。 这 是 因为 这 些 改变 一 般 不 能 很 理想 地 结合 
到 系统 中 (除非 通过 一 个 计划 中 的 递增 策略 )。 不 过 ,人 们 很 难 超前 掌握 和 预料 所 有 恰当 
的 需求 ,或 者 在 快速 改变 的 信息 系统 和 信息 技术 领域 很 难 瞄 准 恰 当 的 技术 。 通 常 ,比较 恰 
当 的 方法 是 建立 一 个 强健 的 基础 体系 结构 ,在 此 基础 上 开发 已 计划 的 和 动态 出 现 的 修改 
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需求 。 早 期 的 原型 法 或 仿真 可 能 就 是 有 用 的 。 


用 文档 化 形式 定义 安全 设计 ,是 说 明 其 满足 需求 等 合理 性 的 理由 ,因为 这 些 理由 不 总 
是 明明 白白 或 理所当然 的 。 

尽管 在 安全 和 风险 评估 的 前 后 ,应 该 进行 各 自 独 立 的 分 析 , 但 是 对 系统 设计 小 组 ( 包 
括 信息 安全 工程 的 参与 者 ) 来 说 ,系统 地 阑 述 系统 安全 状态 的 合理 性 是 很 重要 的 。 这 些 信 
息 可 以 伴随 着 系统 设计 文档 以 书面 分 析 的 形式 出 现 或 出 现在 适当 的 设计 评审 中 。 

1. 关键 技术 的 识别 

在 任何 给 定时 间 点 对 安全 需求 的 理解 中 ,信息 安全 工程 小 组 应 当 考虑 是 否 有 必要 开 
发 或 使 用 任何 新 技术 以 满足 那些 需求 。 对 于 任何 关键 的 和 使 “最 有 希望 "的 系统 概念 增值 
的 信息 系统 安全 新 技术 ,信息 安全 工程 小 组 都 必须 进行 调查 ,以 确保 能 有 把 握 地 将 它们 集 
成 到 系统 设计 中 。 该 活动 可 包括 原型 法 的 应 用 、 测 试 ,以 及 早期 的 运行 评估 ,以 降低 安全 
风险 等 级 和 与 使 用 新 出 现 的 信息 系统 安全 技术 有 关 的 预期 风险 。 

信息 安全 工程 小 组 在 系统 开发 周期 的 早期 考虑 这 些 问 题 时 ,可 能 仅仅 注意 到 需要 什 
么 技术 。 但 是 ,事先 识别 出 需要 开发 的 基本 关键 技术 却 是 十 分 重要 的 ,能够 在 系统 生命 期 
的 设计 、 实 现 直 到 后 续 的 生产 和 修改 阶段 需要 它们 之 前 ,预先 将 这 些 技术 建立 起 来 。 如 果 
满足 特殊 安全 需求 所 需 的 技术 还 没 得 到 ,那么 就 要 确认 有 足够 的 时 间 来 完成 技术 研究 或 
其 他 工作 项 目 , 而 不 与 客户 要 求 的 进度 发 生 冲 突 。 信 息 安全 工程 小 组 也 要 保证 ,由 于 采用 
新 技术 而 产生 的 利益 要 大 于 由 于 依赖 它 而 增加 的 计划 和 技术 风险 。 典 型 情况 是 ,对 新 技 
术 或 未 检验 的 产品 的 依赖 将 使 整个 计划 引入 额外 的 技术 、 费 用 和 进度 的 风险 。 进 一 步 说 ， 
必须 仔细 地 和 经 常 地 监控 这 些 新 技术 或 产品 。 信 息 安全 工程 小 组 应 该 确保 在 将 新 技术 包 
括 在 系统 计划 之 前 ,使 客户 完全 了 解 其 带 来 的 所 有 风险 和 潜在 的 利益 ;信息 安全 工程 还 应 
该 事先 准备 好 后 备 产品 或 过 程 解决 方案 ,以 处 理由 于 未 曾 预 料 的 延迟 或 技术 问题 而 带 来 
的 新 技术 不 能 使 用 的 偶然 事故 。 

使 用 新 技术 需求 的 一 个 例子 是 使 用 新 的 密码 算法 。 算 法 的 研究 开发 以 及 在 系统 内 实 
现 之 前 的 安全 性 评估 都 需要 时 间 和 资金 .这 就 会 影响 成 本 和 进度 。 另 一 个 例子 是 需要 满 
足 系统 安全 需求 的 一 个 完整 的 终端 项 目 , 这 就 会 影响 成 本 和 与 其 他 子 系统 的 关系 。 这 与 
密码 算法 的 例子 不 同 , 密 码 算法 或 许 仅 仅 是 一 个 配置 项 目的 一 部 分 。 

2. 设计 的 约束 

信息 安全 工程 小 组 要 明确 对 影响 和 限制 所 需 安 全 服务 实现 的 系统 设计 的 约束 。 许 多 
因素 都 可 决定 对 系统 如 何 满足 其 安全 需求 进行 约束 或 对 系统 设计 过 程 进 行 约束 。 系 统 运 
行 的 环境 、 运 行 模式 (专用 的 、 系 统 高 层 的 、 系 统 分 级 的 等 ), 以 及 其 业务 功能 的 敏感 性 和 临 
界 点 ,每 一 个 都 可 能 是 影响 设计 决策 的 约束 。 接 口 和 互 操作 性 问题 也 可 能 产生 对 设计 的 
约束 ,例如 ,为 了 符合 一 个 特殊 的 标准 轮廓 或 特殊 环境 的 安全 政策 ,援引 一 个 特殊 的 个 别 
的 标准 需求 ,或 排除 某 些 解决 方案 选项 以 适应 与 外 国政 府 或 国际 机 构 的 互 操作 (或 者 已 知 
需求 或 未 来 有 特殊 定义 的 可 能 性 ) 的 需求 。 

某 些 支持 性 的 需求 也 可 能 约束 系统 设计 和 运行 的 安全 状况 。 这 些 需求 当然 包括 但 不 
限于 后 勤 支持 需求 .可 移植 性 需求 ,生存 性 需求 ,个 人 和 培训 的 限制 ,命令 .控制 .通信 和 情 
报 接口 需求 ,标准 化 和 互 操作 需求 等 。 
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随 着 设计 活动 的 开发 ,信息 安全 工程 小 组 也 要 注意 因 设 计 的 选择 引申 出 来 的 需求 。 
例如 ,选择 高 度 机 密 保护 的 解决 方案 可 能 要 求 保护 数据 抗 自 改 的 附加 需求 。 这 些 需求 将 
被 反馈 给 需求 定义 函数 ,并 在 决策 数据 库 与 可 追踪 性 体系 中 被 准确 定位 。 

3. 非 技术 的 安全 设计 措施 

正 被 获取 的 系统 及 其 设计 规划 将 在 整个 系统 工程 周期 内 通过 运行 .支持 ,培训 和 其 他 
系统 工程 功能 的 并 发 应 用 中 被 开发 。 信 息 安 全 工程 小 组 将 为 正在 进行 的 活动 做 出 贡献 ， 
并 从 中 进行 学 习 , 以 改善 任何 系统 安全 解决 方案 的 适用 性 和 有 效 性 。 

信息 安全 工程 小 组 应 该 从 技术 和 非 技术 两 方面 满足 安全 需求 。 例 如 ,为 某 一 特殊 信 
息 提 供 机 密 性 需求 ,可 用 诸如 加 密 技 术 解 决 方案 来 满足 ,也 可 使 用 非 技 术 的 (如 隐藏 或 其 
他 的 物理 手段 ) 的 解决 方案 来 满足 。 其 他 的 非 技术 解决 方案 将 包括 过 程控 制 , 如 适当 的 操 
作 程序 、 人 事 的 和 运行 的 安全 控制 .隐瞒 采购 和 用 户 身份 ,以 及 可 信和 软件 开发 方法 论 的 非 
技术 要 素 等 。 


4.3.3 先期 概念 和 概念 阶段 安全 设计 支持 


安全 设计 支持 在 先期 概念 阶段 很 少 用 ,但 是 在 为 可 选择 系统 评审 进行 准备 时 ,系统 工 
程 和 信息 安全 工程 小 组 应 该 开发 若干 可 供 选择 的 概念 级 的 系统 设计 。 这 些 可 选择 方案 是 
由 产品 和 过 程 解决 方案 进行 适当 混合 后 组 成 的 。 每 个 可 选择 方案 都 要 与 在 MNS 业务 需 
求 说 明 中 表达 的 高 级 业务 能 力 相 对 应 。 

在 可 选择 系统 评审 (ASR) 时 ,为 了 进一步 进行 开发 ,要 选择 最 好 的 系统 方法 。 系 统 
工程 必须 保证 ,对 每 个 概念 的 可 选择 方案 的 体系 结构 进行 充分 的 提炼 和 分 析 , 以 支持 在 
ASR 时 的 决策 ,以 及 为 选择 系统 概念 的 可 选择 方案 准备 一 组 可 行 的 系统 运行 需求 。 概 念 
级 系统 策略 包括 早期 的 通常 不 成 熟 的 功能 和 物理 的 结构 体系 草案 。 由 于 项 目 所 特有 的 环 
境 不 同 , 概 念 级 设计 可 以 是 很 不 正规 的 ,也 可 能 是 非常 完善 的 。 不 管 哪 种 情况 ,这 一 阶段 
承担 的 设计 等 级 都 要 比 在 以 后 的 工程 设计 阶段 (系统 设计 到 详细 设计 ) 低 得 多 , 那 时 将 提 
交 一 个 等 待 正式 批准 和 配置 控制 的 设计 文件 。 

在 开发 每 个 体系 结构 的 可 选择 方案 并 反复 进行 相互 比较 的 过 程 中 ,系统 工程 师 将 完 
成 折 中 分 析 。 信 息 安全 工程 小 组 必须 保证 体系 结构 已 做 到 足够 的 精细 ,以 使 体系 结构 的 
安全 风险 可 被 充分 地 进行 评估 ,支持 ASR。 

信息 安全 工程 小 组 应 当 分 解 系统 功能 (或 对 象 分 类 ,取决 于 所 选 的 方法 ), 并 把 它们 分 
配 到 较 低 级 别 的 配置 上 ,直到 支持 正在 进行 的 分 析 和 需要 立即 做 出 决策 的 程度 。 如 果 选 
择 和 使 用 得 当 , 自 动 化 工具 是 有 帮助 的 。 信 息 安 全 工程 小 组 将 首先 考虑 遵循 客户 的 方法 
论 和 工具 的 选择 原则 ;如 果 不 行 ,信息 安全 工程 小 组 应 考虑 上 级 机 构 的 方法 论 和 工具 。 


4.3.4 需求 和 系统 设计 阶段 的 安全 设计 支持 


在 这 些 阶 段 期 间 , 系 统 小 组 完成 系统 的 高 层 设计 并 按 技术 规范 形成 文档 。 这 些 活动 
随 系统 功能 评审 而 告终 ,此 时 系统 设计 的 基线 已 完成 并 被 批准 。 应 该 审核 可 选择 的 与 提 
炼 的 概念 级 策略 相 一 致 的 体系 方案 。 例 如 ,如 果 概 念 阶段 在 评估 后 选择 了 广域网 策略 , 那 
么 ,在 其 后 续 的 工程 设计 阶段 将 涉及 多 个 WAN 技术 的 选择 和 体系 结构 的 取舍 。 
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前 段 所 描述 的 活动 在 这 些 阶段 还 要 继续 下 去 。 物 理 和 功能 的 体系 结构 将 继续 被 分 
解 。 信 息 安 全 工程 小 组 需要 保证 安全 服务 强度 ,不 能 因为 支持 这 些 安全 服务 的 功能 被 配 
置 而 受到 削弱 。 功 能 分 解 将 一 直 继续 到 每 个 重要 的 组 成 单元 ,以 便 做 出 “制造 "还 是 “ 购 
买 "的 决定 。 

系统 集成 在 过 程 的 早期 已 经 (至 少 在 纸 面 上 ) 开 始 。 当 需求 的 功能 配置 给 CI 时 ,就 要 
引申 出 接口 控制 规范 。 信 息 安 全 工程 小 组 应 保证 并 且 在 规范 下 指出 通过 这 些 接口 如 何 实 
现 安全 服务 ,包括 扩展 到 更 宽 范围 的 基础 设施 或 业务 环境 的 安全 服务 。 例 如 ,指定 必要 的 
标签 体系 结构 .定义 协议 的 标准 等 。 如 果 系 统 与 网 络 基础 设施 相连 接 , 那 么 这 些 选 择 可 以 
完全 被 确定 下 来 ,或 者 至 少 部 分 被 该 网 络 环境 中 所 用 的 体系 结构 所 约束 。 通 过 指定 内 部 
和 外 部 接口 的 安全 需求 ,使 得 整个 系统 和 互联 的 各 系统 之 间 在 实现 上 保持 一 致 ,从 而 使 集 
成 业务 变 得 更 加 容易 。 信 息 安全 工程 小 组 还 要 对 系统 组 件 进行 验证 ,这 些 组 件 是 根据 它 
与 安全 相关 接口 的 约束 条 件 进行 集成 和 使 用 的 (例如 ,约束 条 件 是 保留 可 信和 产品 的 “ 密 
封 ”, 或 在 与 基础 设施 有 关 的 标准 描述 的 环境 假设 条 件 下 使 用 某 一 种 产品 、 产 品 安全 轮廓 
和 /或 供应 商 的 文献 等 )。 

通常 ,关于 配置 项 目 是 制造 还 是 购买 的 系统 级 决策 要 基于 可 推荐 产品 的 层次 体系 ,其 
范围 从 优先 推荐 使 用 商业 销售 和 得 到 支持 的 硬件 ,软件 和 固件 产品 起 ,不 断 降低 为 使 用 政 
府 指 定 的 现货 项 目 、 修 改 的 项 目 直到 定制 开发 的 项 目 。 但 很 少 有 工程 项 目 可 以 不 做 任何 
针对 应 用 的 开发 。 

制造 /购买 的 决策 需要 进行 折 中 分 析 。 信 息 安 全 工程 小 组 必须 保证 总 体 分 析 中 包括 
了 所 有 的 安全 因素 ,保证 基于 运行 功能 和 特性 、 费 用 、 进 度 表 和 风险 之 间 平 衡 的 最 全 面 的 
体系 结构 。 例 如 ,陈述 的 功能 保证 等 级 是 由 不 成 熟 的 CI 所 提供 的 ,那么 就 应 该 考虑 购买 
而 不 是 定制 开发 。 要 考虑 的 因素 可 能 包括 制造 环境 和 装运 过 程 ,以 保证 不 降低 预期 的 保 
证 等 级 ,或 者 根据 正 被 开发 的 CI 的 敏感 性 能 ,保证 制造 者 是 经 过 审查 的 。 

在 这 些 阶段 期 间 ,将 产生 制造 /购买 的 建议 。 但 是 ,最 终 决 定 通常 在 过 程 之 后 做 出 。 
如 果 可 能 ,信息 安全 工程 小 组 将 提供 解决 方案 (或 对 策 ) ,以 解决 在 折 中 分 析 期 间 未 包含 的 
负面 因素 。 例 如 ,如 果 折 中 分 析 倾 向 于 买 商用 软件 ,但 其 消极 的 因素 是 可 能 包含 潜在 的 病 
毒 ,信息 安全 工程 小 组 可 建议 在 软件 被 购 进 后 进行 病毒 扫描 和 清除 ,这 样 将 减少 由 购买 产 
生 的 某 些 安全 风险 。 

为 了 支持 做 出 制造 /购买 的 折 中 分 析 的 决定 ,信息 安全 工程 小 组 将 调查 现 有 产品 目 
录 , 以 确定 产品 是 否 满足 CI 或 组 件 的 需求 。 只 要 可 能 ,都 应 该 指明 一 组 潜在 可 行 的 选择 
方案 而 不 仅仅 是 一 个 候选 方案 。 调 查 的 对 象 包 括 可 信 产 品评 估 目 录 、 信 息 系统 安全 产品 
目录 、 信 息 系统 安全 知识 库 、 供 应 商 产品 目录 等 。 在 适当 的 时 候 , 信 息 安 全 工程 小 组 也 要 
考虑 由 工业 界 或 政府 先期 开发 的 新 技术 和 新 产品 ,条 件 是 它们 的 时 间 表 和 技术 风险 是 系 
统 开发 可 接受 的 。 

对 产品 安全 勾画 出 轮廓 ,是 工程 师 做 出 制造 /购买 决策 所 必需 的 。 对 某 些 产品 ,安全 
评估 报告 描述 了 产品 的 功能 、 正 确 使 用 产品 的 信息 以 及 产品 已 知 的 脆弱 点 。 对 现 有 产品 
的 了 解 , 是 形成 准确 的 信息 安全 工程 制造 /购买 决策 必 不 可 少 的 。 对 某 些 产品 ,有 关 部 门 
的 安全 评估 报告 可 以 帮助 做 出 决策 。 在 不 能 得 到 当前 的 或 现代 技术 现货 设备 的 安全 评估 
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时 ,由 系统 项 目 办 事 机 构 (SPO) 将 新 设备 或 软件 与 估计 的 安全 特性 和 风险 相关 值 进行 权 
衡 比较 后 ,做 出 是 购买 还 是 定制 的 决策 。 


4.3.5 初步 设计 阶段 到 配置 审计 阶段 的 安全 设计 支持 


系统 工程 师 必 须 通过 初步 设计 审查 来 做 最 终 的 制造 /购买 决定 ,并 反复 研究 CI 和 CI 
之 间 的 接口 策略 在 一 定 范围 的 可 选择 方案 (为 了 使 购买 成 为 满足 能 力 需求 的 最 好 选择 , 系 
统 工程 小 组 在 满足 最 终 需求 的 前 提 下 ,要 对 次 要 的 需求 规范 问题 进行 商讨 ,以 便 取 得 折 中 
方案 的 优势 ) 。 以 前 的 活动 集中 于 CI 的 设计 或 选择 ,以 及 建立 完整 的 CI 级 的 配置 基线 集 
上 ,以 后 的 活动 则 集中 到 获取 或 建立 CI( 如 果 需 要 的 话 ) 集 成 和 测试 系统 。 这 些 阶 段 以 成 
功 地 实现 系统 验证 评审 和 配置 审计 ,为 建立 一 组 CI 产品 基线 准备 就 绪 而 告 结束 ,接着 而 
来 的 就 是 认可 活动 。 

信息 安全 工程 小 组 应 当 审 查 由 于 CI 开发 和 /或 集成 与 测试 时 出 现 的 对 系统 设计 的 任 
何 修改 。 如 果 CI 引起 对 系统 的 附加 需求 的 话 , 那 么 信息 安全 工程 小 组 应 该 评估 这 些 修 改 
对 CI 的 安全 影响 ,并 且 确 定 附 加 的 安全 需求 是 否 被 保证 。 例 如 ,为 系统 选择 的 其 他 有 优 
势 的 现货 (COTS) ,可 能 存在 某 些 从 安全 角度 看 来 很 脆弱 的 行为 和 特性 ,并 引起 对 其 他 系 
统 /CI 产品 或 过 程 的 解决 方案 需求 进行 相应 的 修改 ,如 对 该 CI 的 接口 进行 新 的 限制 等 。 
信息 安全 工程 小 组 将 注意 对 系统 项 目 办 事 机 构 (SPO) 支 持 的 有 关 CI 技术 的 审查 ,并 实现 
对 那些 CI 的 任何 适当 的 信息 系统 安全 的 分 析 , 以 保证 当 其 集成 为 整体 系统 时 ,CI 将 满足 


4.3.6 运行 和 支持 阶段 的 安全 设计 支持 


如 有 必要 ,在 系统 的 运行 周期 内 ,将 反复 进行 安全 设计 支持 ,以 便 提出 适合 于 次 要 和 
主要 系统 修改 的 设计 方案 以 及 预先 规划 的 改进 。 系 统 修改 的 问题 将 进一步 进行 讨论 。 


4.4 安全 运行 分 析 


安全 运行 分 析 将 影响 产品 ,特别 是 过 程 .系统 安全 需求 的 解决 方案 。 通 过 反复 进行 安 
全 运行 分 析 , 并 结合 安全 设计 支持 功能 ,将 定义 出 “过程 ”的 安全 解决 方案 。 安 全 运行 概念 
的 分 析 和 定义 是 系统 工程 和 信息 安全 工程 过 程 整体 的 一 个 组 成 部 分 ,是 导入 安全 C&A 
的 关键 条 件 。 

如 果 客 户 正在 使 用 这 一 分 析 工 具 : 那 么 将 安全 运行 分 析 文档 包括 在 客户 的 运行 概念 
(Concept of Operations,CO) 文 档 中 是 合适 的 。 如 果 客 户 没 有 一 个 系统 的 CO, 那 么 ,本 节 
描述 的 运行 分 析 、 信 息 和 活动 仍然 非常 重要 ,仍然 需要 针对 整个 系统 运行 上 下 文 关 系 中 的 
安全 问题 ( 即 并 不 是 严格 意义 上 地 围绕 安全 问题 ) 执 行 运行 分 析 。 例 如 ,大 量 的 项 目 文档 
可 能 使 用 运行 概念 信息 、 成 本 和 和 运行 效能 分 析 (Cost and Operational Effectiveness 
Analysis,COEA)。 有 时 候 除了 使 用 已 编写 好 的 CO 文档 外 ,在 整个 工程 项 目 生命 期 , 运 
行 分 析 也 可 按 下 列 形式 形成 文档 并 提交 评审 : 设计 评审 说 明 、 培 训 材 料 和 文件 、 人 类 接口 
需求 、 系 统 环境 假设 规范 、 条 款式 的 “程序 和 策略 "文档 。 
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系统 运行 用 户 是 确定 安全 运行 信息 的 优选 资源 ,用 户 代表 实际 上 就 是 一 个 初级 分 析 
员 。 信 息 安 全 工程 小 组 将 帮助 用 户 代表 考虑 安全 运行 .支持 和 管理 概念 ,以 及 正在 开发 的 
系统 所 出 现 的 问题 。 

安全 运行 概念 ,理论 和 过 程 解决 方案 的 开发 ,起 始 于 概念 阶段 ,并 作为 可 选择 系统 概 
念 开发 和 折 中 研究 的 一 部 分 ;这 一 开发 持续 到 配置 审计 阶段 ,验证 该 系统 的 理论 与 前 面 几 
个 阶段 开发 ,提炼 并 形成 基线 概念 的 一 致 性 ;在 系统 进入 其 运行 期 后 ,这 一 开发 仍 将 继续 
并 进一步 演变 ,理论 分 析 最 终 就 变 成 了 实际 的 运行 模式 。 

在 系统 生命 期 内 反复 进行 的 安全 运行 分 析 应 集中 在 : 

(1) 定义 人 、 自 动 化 连接 和 其 他 与 该 系统 进行 交互 的 环境 元 素 一 一 交互 是 直接 进行 
的 ,还 是 经 过 整个 系统 与 业务 环境 内 部 的 远程 /外 部 接口 进行 的 。 

(2) 用 户 扮演 的 角色 (例如 人 的 角色 可 能 包括 系统 用 户 、 系 统 维护 人 员 、 系 统管 理 者 
和 主管 以 及 假定 的 威胁 者 ) 上 。 而 自动 化 的 角色 可 能 是 数据 源 、 数 据 集散 点 、 和 远程 应 用 功 
能 的 操作 员 或 网 络 服务 命令 的 发 出 者 等 。 

(3) 确定 在 其 业务 环境 中 用 户 与 运行 系统 交互 的 方式 和 模式 。 

通常 ,运行 分 析 将 不 包括 任何 与 系统 行为 和 结构 有 关 的 内 容 , 也 不 包括 人 类 直接 不 可 
见 的 现象 或 外 部 自动 化 接口 。 计 算 机 存储 器 和 磁盘 空间 的 精确 配置 通常 与 运行 分 析 无 
关 。 运 行 分 析 与 定义 和 审核 系统 运行 梗概 有 关 。 自 动 仿真 和 建 模 的 工具 通常 在 定义 ,分 
析 和 提交 运行 梗概 时 很 有 帮助 。 

需要 考虑 的 典型 运行 情况 包括 : 

。 在 正常 和 不 正常 条 件 下 ,系统 启动 和 关机 ; 

。 系统 、 人 和 对 错误 条 件 的 环境 反应 或 安全 事件 ; 

。 系统 /组 成 单元 失灵 时 ,在 一 个 或 多 个 预先 计划 的 备用 方式 下 维持 运行 ; 

在 和 平时 期 和 战争 时 期 /其 他 敌对 模式 下 维持 运行 ; 

。 安全 事件 或 自然 灾祸 的 响应 /恢复 模式 (例如 ,与 病毒 事件 有 关 的 系统 冲突 以 及 响 
应 /恢复 ); 

系统 对 关键 性 和 常见 的 外 部 和 内 部 事件 的 反应 ; 

。 若 配置 多 个 系统 ,那么 对 每 个 系统 唯一 的 环境 /场所 梗概 ; 

在 整个 正常 业务 应 用 期 间 , 系 统 行为 .环境 与 人 的 相互 影响 以 及 与 外 部 自动 化 的 
接口 。 

上 述 运行 梗概 ,通常 可 采用 叙述 的 形式 说 明 系 统 原理 和 正常 . 非 正 常 运行 活动 的 
流程 一 一 加 以 说 明 。 提 人 炼 的 运行 案例 和 程序 可 以 包括 在 培训 教材 和 系统 手册 或 者 其 他 形 
式 中 ,也 可 包括 在 出 版 的 标准 操作 程序 或 对 现场 和 商业 企业 的 本 地 政策 以 及 信息 /基础 设 
施 域 中 。 

为 了 实施 关键 性 的 安全 分 析 , 包 括 所 有 运行 概念 在 内 的 因素 都 应 考虑 到 。 这 些 因素 
至 少 应 包括 : 

。 和 希望 系统 处 理 数据 的 敏感 等 级 ; 

。 在 每 个 等 级 上 大 约 有 多 大 的 数据 处 理 量 ; 

。 在 任何 适用 的 主要 角色 ( 即 首席 操作 员 .业务 监 督 员 和 网 络 系统 官员 等 ) 级 别 上 ， 
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与 系统 用 户 相 关 的 许可 证 等 级 (包括 对 分 区 特殊 访问 程序 或 其 他 须知 的 常规 授 
权 )、 功 能 性 权力 和 与 系统 用 户 有 关 的 特权 (人 工 的 和 自动 的 )， 

系统 用 户 的 身份 ; 

与 其 他 系统 接口 有 关 的 敏感 性 等 级 和 业务 重要 性 程度 ; 

技术 的 和 非 技 术 的 (“产品 "和 “过 程 ”) 安 全 执行 机 制 的 相互 作用 ,来 自信 息 系 统 安 
全 和 任何 其 他 被 施加 的 科目 (如 物理 安全 和 人 事 安 全 ) 联 合 承 担 日 常安 全 的 系统 


运行 责任 。 


4.5 生命 周期 安全 支持 


系统 项 目 办事 机 构 (System Project Organization ,SPO) 将 监督 系统 整个 生命 期 各 阶 
段 的 计划 ,包括 开发 .生产 、 现 场 运行 .维护 .培训 和 报废 处 置 。 在 运行 和 维护 期 间 , 要 持续 
运行 在 设计 的 性 能 水 平 上 ,只 有 对 生命 周期 的 “支持 ”进行 详细 ,准确 的 规划 和 实施 才能 
达到 。 


4.5.1 安全 的 生命 期 支持 的 开发 方法 


信息 安全 工程 小 组 和 生命 期 信息 安全 工程 师 (Life-Cycle INFOSEC Engineer,LCIE) 
将 和 客户 一 起 作业 ,为 系统 整个 生命 期 定义 一 个 可 理解 的 安全 方案 ;在 多 个 系统 配置 的 情 
况 下 ,对 个 别 站 点 或 站 点 类 可 能 要 开发 特定 方案 。 由 于 某 些 系统 的 安全 需求 可 采用 非 技 
术 的 过 程 而 不 是 技术 产品 解决 方案 ,在 获取 和 开发 期 间 以 及 稍 后 的 运行 阶段 要 与 负责 系 
统 安全 的 各 种 机 构建 立 密切 关系 ,这 些 机 构 可 能 有 助 于 场地 勘测 ,物理 和 管理 安全 分 析 及 
对 策 分 析 。 

在 这 一 活动 中 产生 的 信息 将 被 并 入 到 相应 的 系统 文件 中 。 与 预先 激活 的 安全 支持 有 
关 的 信息 安全 工程 的 作用 ,可 能 需要 并 入 到 系统 工程 管理 计划 ,项 目 保护 计划 和 /或 合同 
采购 文件 中 。 在 系统 部 署 开始 之 后 ,安全 支持 的 文档 多 半 是 系统 集成 后 勤 支持 计划 的 一 
部 分 ,或 者 是 安全 管理 计划 的 一 部 分 。 这 些 安全 生命 期 支持 问题 对 C&A 团队 来 说 很 有 
意义 ,并 且 可 能 并 行 出 现在 系统 C&A 计划 中 。 

信息 安全 工程 应 准备 就 系统 开发 和 生产 期 间 所 适用 的 安全 支持 问题 和 方法 ,向 客户 
提出 建议 。 例 如 安全 许可 证 等 级 ,在 开发 者 /集成 者 、 操 作者 和 系统 维护 者 之 间 通 常 是 可 
变 的 。 开 发 者 /集成 者 的 人 事 和 设备 的 许可 证 需求 可 在 SOW 中 ,而 操作 者 和 维护 者 的 这 
种 需求 则 可 能 在 系统 理论 原则 和 后 勤 支持 计划 中 。 

在 某 些 子 系统 或 组 件 中 ,会 隐藏 系统 开发 者 或 拥有 者 身份 的 “隐蔽 采购 ”行为 。 另 一 
个 例子 是 ,安全 方案 中 可 能 包括 需要 保护 敏感 信息 以 免 泄露 的 若干 步 又 ,也 可 能 是 需要 监 
控 系 统 生产 和 分 配 过 程 的 各 方面 来 保证 合适 的 安全 需求 得 到 满足 。 

生命 期 的 安全 方案 至 少 涉及 下 列 领域 : 监控 系统 安全 .系统 安全 评估 、 配 置 管理 . 培 
训 \ 后 勒 和 维护 ,次 要 和 主要 的 系统 修改 以 及 报废 处 置 。 早 在 开发 期 间 就 应 该 开始 这 些 活 
动 的 规划 ,以 使 系统 在 整个 生命 期 内 可 以 考虑 这 些 领 域 的 完整 集成 。 主 要 修改 通常 将 引 
起 正式 的 再 度 请 求 系统 工程 和 采集 过 程 提出 广泛 的 和 价格 昂贵 的 修改 方案 ,并 在 重新 设 
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计 现 有 系统 还 是 代 蔡 现 有 系统 之 间 进 行 利益 平衡 。 


信息 安全 工程 小 组 和 生命 期 信息 安全 工程 师 (Life-Cycle INFOSEC Engineering， 
LCIE) 将 与 客户 .C&A 小 组 共同 作业 ,准备 系统 生命 期 的 安全 支持 计划 。 信 息 安 全 工程 
小 组 应 确保 提供 系统 生命 期 支持 的 客户 解决 途径 ,使 系统 的 安全 风险 不 致 恶化 ,并 考虑 提 
高 安全 性 来 对 付 敌对 势力 的 能 力 或 系统 脆弱 性 的 增加 。C&A 小 组 在 系统 启动 之 后 ,要 
注意 确定 重新 认证 重新 认可 的 策略 : 合适 的 阔 值 由 谁 判 定 (通常 是 DAA) ,以 及 在 系统 启 
动 后 这 些 策略 怎样 实现 。 信 息 安全 工程 小 组 考虑 的 领域 包括 : 

。 在 开发 ,测试 和 运行 使 用 期 间 , 有 必要 对 系统 进行 监控 ,以 持续 地 与 安全 需求 保持 
一 致 , 而 不 增加 可 接受 范围 之 外 的 安全 风险 ; 
保证 针对 系统 的 培训 要 包括 安全 特性 和 限制 ,以 使 可 能 导致 安全 风险 增加 的 类 似 
操作 和 维护 错误 受到 控制 并 可 接受 ; 
对 那些 与 可 用 规则 和 规章 相 一 致 的 ,与 安全 有 关 的 组 件 的 处 理 指 令 进行 跟踪 ,而 
不 增加 安全 风险 ; 
保证 配置 管理 过 程 是 适当 的 ,以 避免 出 现 未 经 适当 批准 和 引起 安全 风险 上 升 的 修 
改 事件 ， 
定义 必要 的 安全 性 应 急 计划 ,该 计划 与 运行 的 应 急 计 划 相 匹配 ,例如 战 时 或 敌对 
状态 下 的 应 急 计划 ,此 时 可 能 需要 接受 更 大 (更 小 ) 的 安全 风险 
对 系统 进行 安全 评估 , 找 出 系统 中 的 薄弱 环节 ,并 妥善 处 理 这 些 薄弱 环节 ; 
保证 后 勤 和 维护 支持 系统 中 与 安全 有 关 的 组 成 单元 的 需求 ,而 不 引起 安全 风险 的 
增加 。 

生命 期 支持 的 安全 方面 包括 可 控制 的 (或 可 信 的 ) 分 配 和 ”* 隐 蔽 采购 "技术 。 其 主要 意 
图 是 避免 在 系统 整个 生命 期 期 间 非 授权 地 了 解 或 访问 系统 ,并 重视 保证 硬件 .软件 和 数据 
(包括 密码 、 密 钥 材料 ) 的 持续 完整 性 。 

在 开发 过 程 早 期 ,就 要 开始 计划 并 随 着 系统 的 开发 变 得 更 详细 。 最 初 的 方案 在 ASR 
之 前 的 先期 概念 和 概念 阶段 就 要 做 准备 ,这样 , 它 就 可 以 作为 用 于 确定 在 系统 开发 中 所 使 
用 的 可 选择 系统 概念 信息 的 一 部 分 。 这 种 方案 在 系统 设计 阶段 完成 并 且 在 SFR 结束 。 
也 可 要 求 在 整个 初始 和 详细 设计 以 及 后 续 阶 段 中 追加 更 新 的 和 /或 附加 的 信息 。 这 种 信 
息 将 被 放置 在 合适 的 系统 文档 中 ,通常 是 支持 文件 或 系统 理论 原理 文档 。 在 系统 开发 期 
间 , 通 过 信息 安全 工程 小 组 的 支持 来 确定 解决 途径 。 

生命 期 对 安全 支持 的 主要 目的 ,是 确保 系统 的 保护 手段 在 运行 和 支持 阶段 依然 适合 其 
安全 目标 。 任 何 引起 不 可 接受 安全 风险 的 已 知 缺陷 必须 被 明确 提出 来 ,并 采取 或 大 或 小 的 
修改 措施 弥补 这 些 不 足 或 缺陷 。 除 了 经 常 性 地 反复 进行 安全 风险 评估 外 ,如 果 存 在 安全 违 
规 ,或 者 安全 检查 .审计 中 揭示 出 安全 缺陷 ,或 现行 的 授权 到 期 ,都 可 以 引发 修改 措施 。 

在 对 某 些 系统 .中间 环 境 或 者 更 广泛 的 环境 改变 中 ,可 能 影响 系统 安全 状态 和 安全 解 
决 方案 实用 性 的 ,包括 : 

。 由 于 业务 驱动 或 保护 政策 驱动 改变 信息 的 安全 临界 值 和 /或 敏感 性 ,这 种 改变 会 

引起 安全 需求 或 要 求 的 对 抗 措 施 的 改变 ; 
。 威胁 的 改变 ( 即 威胁 动机 的 改变 ,或 潜在 的 攻击 者 新 的 威胁 能 力 的 改变 ) ,可 使 系 
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统 的 安全 风险 增加 或 减少 ; 

业务 应 用 上 的 改变 ,这 种 改变 要 求 不 同 的 安全 运行 模式 ; 

发 现 新 的 安全 攻击 手段 ; 

安全 缺陷 、 系 统 的 完整 性 缺陷 或 异常 事件 、 突 发 事件 ; 

安全 审计 ,检查 和 外 部 评审 的 结果 ; 

系统 、 子 系统 或 组 件 配 置 的 改变 或 更 新 (例如 ,使 用 新 的 操作 系统 版 本 、 数 据 管 理 
应 用 程序 的 修改 、 安 装 新 的 商用 软件 包 、 硬 件 的 升级 或 拔除 、 新 的 安全 产品 、 对 可 
能 违反 其 安全 假设 的 “可 信 ? 组 件 的 接口 特性 的 改变 ); 

对 CI 的 删除 或 降级 ; 

对 系统 过 程 对 抗 性 措施 ( 即 人 类 接口 需求 或 整个 安全 解决 方案 的 其 他 原理 /程序 
组 件 ) 的 删除 或 降级 ; 

与 任何 新 的 外 部 接口 的 连接 ; 

运行 环境 的 改变 (例如 重新 部 署 其 他 设备 改变 提供 保护 的 基础 设施 和 环境 \ 改 变 
外 部 操作 程序 ); 

能 改善 安全 态势 或 降低 运行 费用 的 新 对 抗 技 术 的 可 用 性 ; 

系统 安全 可 信和 期 满 。 


4.5.2 ”对 部 署 的 系统 进行 安全 监控 


理想 情况 下 ,系统 安全 功能 在 系统 运行 期 间 应 被 连续 监控 ,有 关 的 监控 特性 应 该 通过 
对 生命 期 支持 问题 的 并 发 分 析 提 前 设计 到 系统 中 。 例 如 ,在 系统 启动 后 ,安全 的 监控 可 能 
涉及 支持 安全 审计 追踪 的 自动 化 分 析 ; 或 者 使 用 一 个 联网 工作 的 工作 站 分 析 正 在 通过 网 
络 的 数据 包 , 以 保证 它们 不 以 明文 出 现 ; 或 者 可 进行 安全 现场 评估 ,一 个 系统 的 传输 ( 数 
据 ) 可 被 记录 下 来 并 进行 分 析 , 以 确定 是 否 检 测 出 任何 安全 异常 情况 。 信 息 安全 工程 小 组 
将 参与 商业 研究 ,以 确定 什么 样 的 监控 手段 具有 最 好 的 成 本 -效益 比 ,同时 可 提供 最 为 可 
信 的 措施 ,确保 系统 的 一 致 性 ,以 使 可 接受 的 安全 风险 遵从 其 安全 需求 。 信 息 安 全 工程 小 
组 应 建议 有 利于 实现 这 一 目标 的 合理 措施 。 在 开发 这 些 建 议 时 ,指定 给 信息 安全 工程 小 
组 的 安全 指导 代表 将 非常 有 用 。 如 果 合 理 的 监控 是 在 系统 设计 期 间 集 成 进去 ,而 非 在 系 
统 完成 之 后 才 " 粘 上 去 "的话 ,那么 这 种 成 本 通常 是 非常 低 的 。 信 息 安 全 工程 小 组 将 确保 
在 开发 期 间 妥 善 解决 这 些 问题 。 


4.5.3 系统 安全 评估 


信息 安全 工程 小 组 应 提出 系统 是 否 应 该 进行 安全 评估 的 建议 ,但 是 最 终 做 出 是 否 评 
估 的 决定 却 取决 于 系统 拥有 者 和 认可 者 ,以 及 实际 完成 安全 评估 的 评估 者 。 在 制定 该 建 
议 时 ,要 考虑 许多 因素 ,其 中 包括 系统 是 否 已 用 了 被 证 明 过 的 手段 来 满足 其 安全 需求 。 如 
果 是 这 样 ,安全 评估 在 成 本 -效益 上 可 能 不 划算 ;但 是 ,如 果 用 的 是 “新 "的 或 可 疑 的 手段 来 
满足 安全 需求 ,那么 安全 评估 就 是 必需 的 了 。 另 一 个 需要 考虑 的 因素 可 能 是 系统 在 其 环 
境 中 要 面临 的 威胁 。 如 果 威 胁 很 大 ,安全 评估 可 能 是 适当 的 ;但 是 如 果 威 胁 不 大 ,那么 评 
估 可 能 就 不 合算 了 。 系 统 文档 、 适 当 的 终端 项 目 或 系统 本 身 的 其 他 部 分 (如 无 线 电 设备 、 
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工作 站 ) 应 该 提供 给 安全 评估 人 员 。 安 全 评估 人 员 则 研究 系统 文档 和 任何 提供 的 用 于 测 

试 的 组 件 ,并 从 敌对 势力 的 角度 试图 进行 “攻击 ”。 安 全 评估 人 员 应 恰当 报告 任何 脆弱 性 

(如 给 系统 用 户 和 LCIE) ,并 决定 需要 采取 的 行动 。 改 变 物 理 系统 本 身 或 相应 的 系统 理 

论 程序 可 能 是 正确 的 ,或 者 进一步 计划 使 系统 升级 。 信 息 安 全 工程 小 组 的 安全 指导 代表 

应 该 将 小 组 的 意见 综合 起 来 ,以 判断 安全 评估 是 否 是 合适 并 可 行 的 。 在 某 些 情况 下 ,可 能 

需要 就 是 否 通过 长 期 的 深层 次 的 安全 评估 来 支持 系统 数量 和 类 型 做 出 折 中 分 析 判 断 。 
在 安全 的 生命 期 支持 中 , 某 些 场合 下 的 系统 安全 轮廓 研究 也 是 很 有 用 的 。 


4.5.4 配置 管理 


配置 管理 是 一 个 对 系统 (包括 软件 ,硬件 .固件 、 文 档 、 支 持 / 测 试 设备 、 开 发 /维护 设 
备 ) 所 有 变化 进行 控制 的 过 程 。 系 统 项 目的 管理 者 应 该 建立 一 个 配置 控制 委员 会 
(Configuration Control Board,CCB) ,用 来 审查 或 批准 系统 的 任何 修改 。 

在 整个 生命 期 内 ,实行 配置 管理 有 许多 理由 ,其 中 包括 : 
在 生命 期 内 的 某 一 给 定点 上 维持 一 个 基线 ; 
。 系统 在 不 断 变化 中 不 可 能 保持 静止 ; 
。 对 灾难 等 突 发 事件 (自然 的 、 人 为 的 ) 进 行规 划 ; 
保持 对 所 有 C&A 证 据 的 追踪 ; 

。 对 系统 有 限 资源 集合 的 利用 在 整个 系统 生命 期 内 将 增加 ; 

。 配置 项 的 识别 ; 

。 配置 控制 ; 

。 配置 会 计 学 ; 

。 配置 审计 。 

最 强 的 配置 控制 过 程 将 包括 对 实际 系统 在 其 运行 环境 下 周期 性 的 ,物理 上 和 功能 上 
的 审计 。 通 常 出 现 的 改变 不 是 已 知 的 ,也 不 是 文件 已 经 提供 的 ,这 些 只 能 通过 检查 系统 硬 
件 , 软 件 和 常 驻 数据 发 现 。 

信息 安全 工程 小 组 将 保证 管理 系统 配置 的 过 程 在 系统 生命 期 内 都 保持 工作 状态 ,并 
且 配 置 管 理 过 程 将 信息 系统 安全 问题 作为 关键 目的 。 信 息 安 全 工程 小 组 .LCIE、C&A 或 
其 他 有 相关 知识 的 信息 系统 安全 代表 必须 参与 配置 控制 过 程 ,最 好 作为 完全 的 CCB 成 员 
参与 ,并 找到 和 评估 任何 可 能 有 安全 影响 的 改变 。 

信息 安全 工程 小 组 或 LCIE 在 适当 的 时 候 将 提供 一 种 信息 ,该 信息 包括 请 求 的 改变 
及 其 对 用 户 安全 的 影响 ,将 由 配置 委员 会 来 决定 是 否 批准 所 请 求 的 改变 。 这 种 安全 影响 
信息 可 以 指明 增加 或 降低 安全 风险 的 系统 评估 等 级 ,或 提出 一 个 在 已 评估 的 安全 风险 的 
可 接受 范围 内 进行 修改 的 建议 。 应 予 注意 的 是 ,对 系统 安全 态势 有 正面 影响 的 变化 也 要 
明确 指出 ,并 进行 必要 描述 ,因为 这 一 信息 对 配置 控制 委员 会 也 有 用 。 


4.5.5 培训 


并 发 系统 工程 方案 内 的 培训 功能 旨 在 提交 所 要 求 的 任务 、 活 动 和 系统 单元 ,以 便 达到 
和 维持 相关 人 员 所 需 的 知识 和 技能 水 平 , 使 之 有 能 力 和 有 效 地 实施 系统 的 运行 和 支持 。 
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如 果 必 要 ,信息 安全 工程 小 组 和 LCIE 应 将 与 安全 相关 的 培训 集成 到 系统 生命 期 的 
培训 项 目 中 去 。 信 息 安全 工程 小 组 鼓励 客户 参与 对 系统 正确 配置 维护 和 安全 特性 使 
的 有 关 培 训 活 动 。 这 种 培训 可 以 针对 端 用 户 、 系 统管 理 员 、 系 统 维 护 人 员 、 军 队 指 挥 员 或 
机 构 执 行 官 、 安 全 官员 、 系 统 或 组 件 开发 者 、 安 全 认证 者 或 评估 者 等 ,培训 是 整个 系统 生命 
期 内 所 必需 的 。 要 对 每 个 培训 课程 进行 审核 ,以 便 确定 培训 课程 是 否 包 含有 与 安全 相关 
的 培训 材料 。LCIE 需要 跟踪 与 安全 有 关 的 培训 需求 ,并 保证 对 任 伺 修 改 和 /或 新 的 安全 
特性 都 要 进行 培训 。 培 训 用 户 如 何 使 用 系统 的 练习 ,要 引入 (允许 条 件 下 的 ) 现 场 演练 方 
法 ,包括 适当 安全 功能 的 应 用 和 有 关 威 胁 尝 试 的 模拟 (例如 , 敌 方 信号 情报 的 收集 .电子 
战 ,识别 病毒 或 黑客 等 )。 


4.5.6 后勤 和 维护 


并 发 系统 工程 方案 中 的 支持 功能 旨 在 提交 任务 、 活 动 和 系统 单元 ,以 便 提供 运行 、 维 
护 , 后 勤 ( 包 括 培训 ) 和 材料 管理 支持 。 为 了 保证 正确 提供 、 存 储 和 维护 系统 的 最 终 项 目 ， 
必须 对 任务 ,装备 、 技 能、 人员 ,设施 、 材 料 、 服 务 、 供 应 品 和 过 程 进行 定义 。 

集成 的 后 勤 支 持 是 管理 和 技术 活动 经 过 训练 的 、 统 一 和 反复 应 用 的 方案 ,这 些 管理 和 
技术 活动 是 下 列 活动 所 必需 的 : 将 后 勤 支持 集成 到 系统 和 装备 的 设计 中 ;开发 一 些 支持 
需求 ,这 些 支持 需求 始终 都 是 与 备用 项 目 . 设 计 和 相互 之 间 有 关 的 ;获取 必要 的 支持 ;以 最 
小 的 代价 在 运行 阶段 期 间 提供 必要 的 支持 。 集 成 的 后 勤 支持 (ILS) 将 被 集成 到 设计 过 程 
中 ,以 保证 正在 设计 的 系统 一 旦 在 现场 进行 装备 时 可 得 到 充分 的 支持 。 如 果 没 有 一 良好 
定义 的 过 程 ,并 持续 使 用 合适 的 工程 和 系统 分 析 技 术 , 系 统 的 质量 和 可 靠 性 在 运行 和 维护 
过 程 中 可 能 恶化 ,导致 维护 和 运行 费用 的 增加 。 

信息 安全 工程 小 组 应 该 保证 后 勤 支持 需求 是 在 考虑 了 系统 的 安全 需求 后 进行 开发 
的 。 例 如 ,如 果 CI 或 组 件 需要 对 密 钥 或 特权 管理 令 牌 进行 物理 递交 , 则 信息 安全 工程 小 
组 应 该 保证 这 些 安全 需求 在 系统 的 后 勤 计 划 中 被 提出 来 。 

在 系统 的 整个 生命 周期 内 ,影响 系统 安全 态势 的 问题 报告 将 由 LCIE 进行 分 析 ( 如 果 
合适 ,可 由 信息 安全 工程 牵头 进行 )。LCIE 应 该 检查 带 趋 势 性 的 问题 报告 ,这 些 问 题 报 
告 指出 系统 应 用 中 不 充分 的 培训 ,或 揭示 出 引起 安全 风险 增加 或 不 符合 系统 安全 需求 的 
系统 设计 错误 。 


4.5.7 系统 的 修改 


1. 重大 修改 

有 时 可 能 需要 对 一 个 系统 进行 一 处 或 多 处 修改 ,其 至 完全 替换 一 个 系统 。 这 种 需求 
最 通常 是 在 重新 请 求全 系统 获取 和 工程 过 程 时 才 被 提出 来 。 当 需要 大 量 新 的 资源 、 特 殊 
或 大 规模 采购 或 大 规模 工程 人 力 资源 ,需要 改变 系统 的 大 部 分 或 特别 关键 的 部 分 时 ,可 认 
为 这 些 就 是 主要 的 或 重大 的 修改 。 通常, 主要 修改 的 提议 必须 经 适当 的 机 构 进行 论证 ,并 
且 要 在 可 能 引起 可 用 资源 竞争 的 其 他 系统 获取 的 活动 之 前 优先 实施 。 重 新 计划 的 产品 改 
进 方案 也 有 同样 的 属性 。 
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2. 一 般 修 改 


信息 安全 工程 小 组 或 LCIE 在 计划 和 开发 一 般 性 修改 时 ,必须 和 客户 紧密 合作 。 一 
般 性 修改 往往 是 那些 特别 规划 给 该 系统 运行 和 维护 基金 内 可 以 处 理 的 小 修改 ,或 者 得 到 
机 构 运行 资金 支持 的 小 修改 。 它 们 通常 是 由 端 用 户 提出 或 其 设计 支持 中 心 提出 的 ,此 类 
修改 不 必 通 知 获取 项 目 办 事 机 构 或 系统 工程 小 组 。 

对 于 一 般 性 修改 ,信息 安全 工程 过 程 仍然 是 可 用 的 和 有 益 的 。 由 于 修改 的 开发 活动 
远 比 系统 开发 规模 小 ,所 以 这 种 修改 降低 了 复杂 性 ,简化 了 手续 ,缩小 了 范围 。LCIE 应 
该 保证 ,所 有 需求 包含 任何 合适 的 安全 需求 ,设计 满足 安全 需求 ,实现 也 考虑 到 设计 。 通 
常 ,为 了 适应 一 般 性 修改 ,许多 系统 文件 只 要 求 少 量 的 改变 。 信 息 安全 工程 小 组 将 参与 到 
这 些 改变 中 ,以 保证 当时 判定 为 可 接受 安全 风险 等 级 的 系统 安全 状况 不 能 因 修改 而 降低 。 
对 于 被 提议 的 系统 修改 是 否 应 该 进行 深层 次 的 安全 风险 评估 或 者 重新 进行 正规 的 安全 风 
险 审核 ,信息 安全 工程 小 组 应 该 基于 需求 的 修改 特性 做 出 判断 。 


4.5.8 报废 处 置 


处 置 包括 一 些 必须 执行 的 任务 ,行为 和 活动 以 及 系统 元 素 , 保 证 对 那些 退役 的 .被 破 
坏 的 或 不 可 修复 的 系统 最 终 项 目 进行 报废 处 置 ,以 与 分 类 项 目的 应 用 策略 以 及 环境 规则 
和 指示 相 一 致 。 此 外 ,系统 的 报废 处 置 , 要 考虑 到 短期 和 长 期 可 能 破坏 环境 和 伤 及 人 与 动 
物 健康 的 影响 。 系 统 工 程 处 置 功能 还 包括 再 生 、 材 料 恢复 .废物 利用 ,以 及 对 开发 和 生产 
过 程 中 副产品 的 处 置 。 

信息 安全 工程 小 组 应 该 保证 为 系统 所 做 的 处 置 计划 充分 地 考虑 到 该 系统 生命 期 有 关 
安全 方面 的 问题 。 例 如 , 当 开 发 完成 后 ,如 何 处 理 用 来 开发 保密 软件 的 计算 机 、 系 统 的 副 
产品 和 消耗 品 ( 即 备用 材料 .计算 机 外 部 设备 输出 和 打印 机 附件 等 ), 以 及 驻 留 在 现场 系统 
中 已 被 淘汰 或 撤销 的 保密 软件 。LCIE 将 保证 处 置 与 安全 生命 周期 的 支持 计划 相 一 致 ， 
使 报废 处 置 不 会 增加 系统 的 安全 风险 。 


本 章 小 结 


本 章 介 绍 了 与 信息 安全 工程 相关 的 概念 和 各 种 典型 活动 ,所 有 这 些 活动 必须 在 信息 
安全 工程 小 组 或 信息 系统 安全 工程 师 的 指导 下 完成 。 概 括 性 地 描述 了 安全 规划 与 控制 、 
安全 需求 安全 设计 支持 、 安 全 运行 、 生 命 周 期 安全 等 每 项 活动 。 安 全 规划 与 控制 属于 系 
统 和 安全 项 目的 管理 与 规划 活动 ,开始 于 一 个 机 构 从 业务 角度 决定 承担 该 工程 的 时 候 , 它 
们 是 信息 安全 工程 过 程 的 基本 部 分 ;安全 需求 是 为 了 确定 系统 每 个 主要 功能 ,并 用 无 歧义 
的 可 试验 术语 说 明 这 些 需求 ;安全 设计 支持 提供 了 对 那些 能 满足 系统 需求 的 安全 服务 . 安 
全 机 制 和 安全 特性 的 深刻 理解 ,以 及 在 整个 系统 结构 的 上 下 文 关联 中 的 建议 ;生命 周期 的 
规划 和 实施 达到 了 安全 持续 运行 在 设计 的 性 能 水 平 上 。 
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习 题 
. 简 述 信息 安全 工程 的 生命 周期 。 
. 分 别 简 述 信息 安全 工程 小 组 和 LCIE 的 职责 。 


. 为 什么 要 实行 配置 管理 ? 
. 一 个 科学 的 高 质量 的 信息 安全 工程 应 包括 哪些 环节 ? 


wD 


信息 安全 风险 管理 与 评估 


学 习 目 标 

。 了 解 风险 评估 的 概念 、 特 点 和 内 涵 ; 

。 知道 风险 评估 的 过 程 及 应 注意 的 问题 ; 
。 了 解 如 何 选择 恰当 的 风险 评估 方法 ; 
。 知道 典型 的 风险 评估 方法 ; 

。 了 解 风险 评估 实施 准备 。 


5.1 信息 安全 风险 管理 


信息 安全 风险 管理 是 指 对 信息 安全 项 目 从 识别 到 分 析 乃 至 采取 应 对 措施 等 一 系列 过 
程 , 它 包 括 将 积极 因素 所 产生 信息 安全 风险 管理 流程 的 影响 最 大 化 和 使 消极 因素 产生 的 
影响 最 小 化 两 方面 内 容 。 


5.1.1 定义 与 基本 性 质 


信息 安全 风险 管理 是 指 通过 风险 识别 .风险 分 析 和 风险 评价 去 认识 信息 安全 项 目的 
风险 ,以 此 为 基础 合理 地 使 用 各 种 风险 应 对 措施 ,管理 方法 技术 和 手段 ,对 信息 安全 项 目 
的 风险 实行 有 效 的 控制 ,妥善 地 处 理 风 险 事件 造成 的 不 利 后 果 , 以 最 少 的 成 本 保证 信息 安 
全 总 体 目标 实现 的 管理 工作 。 

通过 界定 信息 安全 范围 ,可 以 明确 信息 安全 项 目的 范围 ,将 信息 安全 项 目的 任务 细 分 
为 更 具体 ,更 便于 管理 的 部 分 ,避免 遗漏 而 产生 风险 。 在 信息 安全 项 目 进行 过 程 中 ,各 种 
变更 是 不 可 避免 的 ,变更 会 带 来 某 些 新 的 不 确定 性 ,风险 管理 可 以 通过 对 风险 的 识别 ,分 
析 来 评价 这 些 不 确定 性 ,从 而 向 信息 安全 项 目的 管理 提出 任务 。 

信息 安全 风险 管理 基本 性 质 表现 为 风险 的 客观 性 和 风险 的 不 确定 性 。 风 险 的 客观 
性 ,首先 表现 在 它 的 存在 是 不 以 个 人 的 意志 为 转移 的 。 从 根本 上 说 ,这 是 因为 决定 风险 的 
各 种 因素 对 风险 主体 是 独立 存在 的 ,不 管 风 险 主 体 是 否 意识 到 风险 的 存在 ,在 一 定 条 件 下 
仍 有 可 能 变 为 现实 。 其 次 .还 表现 在 它 是 无 时 不 有 、 无 所 不 在 的 , 它 存在 于 人 类 社会 的 发 
展 过 程 中 ,潜藏 于 人 类 从 事 的 各 种 活动 之 中 。 风 险 的 不 确定 性 是 指 风 险 的 发 生 是 不 确定 
的 , 即 风险 的 程度 有 多 大 、 风 险 何 时 何 地 有 可 能 转变 为 现实 均 是 不 确定 的 。 这 是 由 于 人 们 
对 客观 世界 的 认识 受到 各 种 条 件 的 限制 ,不 可 能 准确 预测 风险 的 发 生 。 
风险 一 旦 产生 ,就 会 使 风险 主体 产生 挫折 、 失 败 、 甚 至 损失 ,这 对 风险 主体 是 极为 不 利 
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的 。 风 险 的 不 利 性 要 求 我 们 在 承认 风险 、 认 识 风 险 的 基础 上 做 好 决策 , 尽 可 能 地 避免 风 
险 ,将 风险 的 不 利 性 降 至 最 低 。 风 险 的 可 变性 是 指 在 一 定 条 件 下 风险 可 以 转化 。 


5.12 分 类 


按 风险 后 果 分 类 可 分 为 纯粹 风险 和 投机 风险 。 纯 粹 风险 是 指 风险 导致 的 结果 只 有 两 
种 , 即 没 有 损失 或 有 损失 (不 会 带 来 利益 )。 投 机 风险 是 指 风险 导致 的 结果 有 三 种 , 即 没有 
损失 、 有 损失 或 获得 利益 。 纯 粹 风险 一 般 可 重复 出 现 ,因而 可 以 预测 其 发 生 的 概率 ,从 而 
相对 容易 采取 防范 措施 。 投 机 风险 重复 出 现 的 概率 小 ,因而 预测 的 准确 性 相对 较 差 。 纯 
粹 风险 和 投机 风险 常常 同时 存在 。 

按 风 险 来 源 划分 自然 风险 和 人 为 风险 。 自 然 风险 是 指 由 于 自然 力 的 不 规则 变化 导致 
财产 毁损 或 人 员 伤 亡 ,如 风暴 、 地 震 等 。 人 为 风险 是 指 由 于 人 类 活动 导致 的 风险 。 人 为 风 
险 又 可 细 分 为 行为 风险 、 政 治 风险 ,经 济 风险 ,技术 风险 和 组 织 风险 等 。 

按 风 险 的 形态 分 静态 风险 和 动态 风险 。 静 态 风险 是 由 于 自然 力 的 不 规则 变化 或 由 于 
人 的 行为 失误 导致 的 风险 。 从 发 生 的 后 果 来 看 ,静态 风险 多 属于 纯粹 风险 。 动 态 风 险 是 
由 于 人 类 需求 的 改变 、 制 度 的 改进 和 政治 \ 经 济 、 社 会 .科技 等 环境 的 变迁 导致 的 风险 。 从 
发 生 的 后 果 来 看 ,动态 风险 既 可 属于 纯粹 风险 ,又 可 属于 投机 风险 。 

按 风 险 可 否 管 理 分 可 管理 风险 和 不 可 管理 风险 。 可 管理 风险 是 指 用 人 的 智慧 ,知识 
等 可 以 预测 .可 以 控制 的 风险 。 不 可 管理 风险 是 指 用 人 的 智慧 .知识 等 无 法 预测 和 无 法 控 
制 的 风险 。 

按 风险 的 影响 范围 分 类 可 分 为 局 部 风险 和 总 体 风险 。 局 部 风险 是 指 由 于 某 个 特定 因 
素 导 致 的 风险 ,其 损失 的 影响 范围 较 小 。 总 体 风险 影响 范围 大 ,其 风险 因素 往往 无 法 加 以 
控制 ,如 经 济 、 政 治 等 因素 。 

按 风 险 后 果 的 承担 者 分 类 可 分 为 政府 风险 、 投 资方 风险 、 业 主 风险 、 承 包 商 风险 、 供 应 
商 风险 ,担保 方 风 险 等 。 

按照 信息 安全 目标 系统 的 结构 进行 划分 可 分 为 工期 风险 、 费 用 风险 ,质量 风险 ,市场 
风险 、 信 誉 风险 人身 伤 亡 安全 健康 以 及 工程 或 设备 的 损坏 法律 责任 。 


5.1.3 信息 安全 风险 控制 与 管理 方案 


风险 识别 包含 两 方面 内 容 : 识别 哪些 风险 可 能 影响 信息 安全 进展 ,及 记录 具体 风险 
的 各 方面 特征 ,风险 识别 不 是 一 次 性 行为 ,而 应 有 规律 地 贯穿 整个 信息 安全 中 ;风险 识别 
包括 识别 内 在 风险 及 外 在 风险 。 内 在 风险 指 信息 安全 工作 组 能 加 以 控制 和 影响 的 风险 ， 
如 人 事 任免 和 成 本 估计 等 。 外 在 风险 指 超出 信息 安全 工作 组 等 控 力 和 影响 力 之 外 的 风 
险 , 如 市 场 转向 或 政府 行为 等 。 

严格 来 说 ,风险 仅仅 指 遭 受 创伤 和 损失 的 可 能 性 ,但 对 信息 安全 而 言 , 风 险 识别 还 牵 
涉 机 会 选择 (积极 成 本 ) 和 不 利 因素 威胁 (消极 结果 )。 信 息 安全 风险 识别 应 凭借 对 “ 因 ” 和 
“ 果 ”( 将 会 发 生 什 么 导致 什么 ) 的 认定 来 实现 ,或 通过 对 “ 果 ” 和 “ 因 ”( 什 么 样 的 结果 需要 了 予 
以 避免 或 促使 其 发 生 , 以 及 怎样 发 生 ) 的 认定 来 完成 。 
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1. 对 风险 识别 的 输入 


在 所 识别 的 风险 中 ,信息 安全 产品 的 特性 起 主要 的 决定 作用 。 所 有 的 产品 都 是 这 样 ， 
生产 技术 已 经 成 熟 完善 的 产品 要 比 尚 待 革新 和 发 明 的 产品 风险 低 得 多 。 与 信息 安全 相关 
的 风险 常常 以 “产品 成 本 ”和 “预期 影响 "来 描述 。 工 作 分 析 结 构 一 一 非 传 统 形式 的 结构 细 
分 往往 能 提供 给 我 们 高 一 层次 分 支 图 所 不 能 看 出 来 的 选择 机 会 。 成 本 估计 和 活动 时 间 估 
计 一 一 不 合理 的 估计 及 仅 任 有 限 信息 做 出 的 估计 会 产生 更 多 风险 。 人 事 方案 一 一 确定 团 
队 成 员 有 独特 的 工作 技能 使 之 难以 替代 ,或 有 其 他 职责 使 成 员 分 工 细 化 。 必 需 品 采购 管 
理 方案 一 一 类 似 发 展 缓慢 的 地 方 经 济 这 样 的 市 场 条 件 往往 可 能 提供 降低 合同 成 本 的 
选择 。 

2. 风险 输出 

风险 因素 是 指 一 系列 可 能 影响 信息 安全 向 好 或 坏 的 方向 发 展 的 风险 事件 的 总 和 ,这 
些 因素 是 复杂 的 ,也 就 是 说 ,它们 应 包括 所 有 已 识别 的 条 目 , 而 不 论 频 率 、 发 生 之 可 能 性 ， 
一 利 或 损失 的 数量 等 。 潜 在 的 风险 事件 是 指 如 自然 灾害 或 团队 特殊 人 员 出 走 等 能 影响 信 
息 安全 的 不 连续 事件 。 在 发 生 这 种 事件 或 重大 损失 的 可 能 相对 巨大 时 (* 相 对 巨大 ”应 根 
据 具体 信息 安全 而 定 ), 除 风险 因素 外 还 应 将 潜在 风险 事件 考虑 在 内 。 风 险 征兆 有 时 也 被 
称 为 触发 引擎 ,是 一 种 实际 风险 事件 的 间接 显示 。 例 如 : 表 失 士气 可 能 是 计划 被 搁置 的 
警告 信号 ;而 运作 早期 即 产生 成 本 超支 可 能 又 是 评估 粗糙 的 表现 。 风 险 认 定 过 程 应 在 另 
一 个 相关 领域 中 确定 一 个 要 求 ,以 便 进行 进一步 运作 。 

3. 风险 量化 

风险 量化 涉及 对 风险 和 风险 之 间 相互 作用 的 评估 ,用 这 个 评估 分 析 信 息 安全 可 能 的 
输出 。 这 首先 需要 决定 哪些 风险 值得 反应 。 如 对 风险 量化 的 输入 ,投资 者 对 风险 的 容忍 
度 。 不 同 的 组 织 和 个 人 往往 对 风险 有 着 不 同 的 容忍 限度 。 不 同 工 具 和 方法 对 风险 量化 存 
在 一 定 的 偏差 。 统 计数 字 加 总 是 将 每 个 具体 工作 课题 的 估计 成 本 加 总 以 计算 出 整个 信息 
安全 的 成 本 的 变化 范围 。 模 拟 法 运用 假定 值 或 系统 模型 来 分 析 系 统 行为 或 系统 表现 。 较 
普通 的 模拟 法 模式 是 运用 信息 安全 模型 作为 信息 安全 框架 来 制作 信息 安全 日 程 表 。 决 策 
树 是 一 种 便于 决策 者 理解 的 ,来 说 明 不 同 决策 之 间 和 相关 偶发 事件 之 间 的 相互 作用 的 
图 表 。 

4. 对 策 研究 

风险 对 策 研 究 包 括 对 机 会 的 跟踪 进度 和 对 危机 的 对 策 的 定义 。 对 威胁 的 对 策 大 体 分 
以 下 三 点 : 避免 一 一 排除 特定 威胁 往往 靠 排除 威胁 起 源 ,信息 安全 管理 队伍 绝 不 可 能 排 
除 所 有 风险 ,但 特定 的 风险 事件 往往 是 可 以 排除 的 ;减缓 一 一 减少 风险 事件 的 预期 资金 投 
人 来 减低 风险 发 生 的 概率 (如 为 避免 信息 安全 产 出 的 产品 报废 而 使 用 专利 技术 ) ,以 及 减 
少 风险 事件 的 风险 系数 ,或 两 者 双管齐下 ;吸纳 一 一 接受 一 切 后 果 。 这 种 接受 可 以 是 积极 
的 (如 制定 预防 性 计划 来 防备 风险 事件 的 发 生 ) .也 可 以 是 消极 的 (如 某 些 工程 运营 超支 则 
接受 低 于 预期 的 利润 )。 如 对 风险 对 策 研究 的 输入 须 跟踪 的 机 会 , 须 反 应 的 威胁 和 被 忽略 
的 机 会 ,被 吸纳 的 威胁 。 

5. 实施 控制 

风险 对 策 实施 控制 包括 实施 风险 管理 方案 以 便 在 信息 安全 过 程 中 对 风险 事件 做 出 回 
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应 。 当 变故 发 生 时 ,需要 重复 进行 风险 识别 、 风 险 量化 以 及 风险 对 策 研究 ,制定 一 整套 基 
本 措施 、 风 险 管理 方案 和 实际 风险 事件 ;有 些 已 识别 了 的 风险 事件 会 发 生 , 有 些 则 不 会 。 
发 生 了 的 风险 事件 是 实际 风险 事件 或 者 说 是 风险 的 起 源 , 而 信息 安全 管理 人 员 应 总 结 已 
发 生 的 风险 事件 以 便 进行 进一步 的 对 策 研究 。 附 加 风险 识别 ; 当 信 息 安 全 进程 受到 评价 
和 总 结 时 ,事先 未 被 识别 的 潜在 风险 事件 或 风险 的 起 源 将 会 浮 出 水 面 。 

6. 管理 方案 

在 全 面 分 析 评 估 风 险 因素 的 基础 上 ,制定 有 效 的 管理 方案 是 风险 管理 工作 的 成 败 之 
关键 , 它 直接 决定 管理 的 效率 和 效果 。 因 此 ,翔实 ,全 面 有 效 成 为 方案 的 基本 要 求 ,其 内 
容 应 包括 : 风险 管理 方案 的 制定 原则 和 框架 、 风 险 管理 的 措施 、 风 险 管理 的 工作 程序 等 。 

7. 制定 原则 

(1) 可 行 、 适 用 、 有 效 性 原则 。 管 理 方案 首先 应 针对 已 识别 的 风险 源 ,制定 具有 可 操 
作 的 管理 措施 ,适用 有 效 的 管理 措施 能 大 大 提高 管理 的 效率 和 效果 。 

(2) 经 济 , 合 理 、 先 进 性 原则 。 管 理 方案 涉及 的 多 项 工作 和 措施 应 力求 管理 成 本 节 
约 , 管 理 信息 流畅 方式 简捷 .手段 先进 才能 显示 出 高 超 的 风险 管理 水 平 。 

(3) 主动 .及 时 、 全 过 程 原则 。 信 息 安 全 的 全 过 程 建设 期 分 为 前 期 准备 阶段 (可 行 性 
研究 阶段 .勘察 设计 阶段 .招标 投标 阶段 ) .施工 及 保修 阶段 .生产 运营 期 。 对 于 风险 管理 ， 
仍 应 遵循 主动 控制 .事先 控制 的 管理 思想 ,根据 不 断 发 展 变化 的 环境 条 件 和 不 断 出 现 的 新 
情况 ,新 问题 ,及 时 采取 应 对 措施 ,调整 管理 方案 ,并 将 这 一 原则 贯彻 信息 安全 全 过 程 , 才 
能 充分 体现 风险 管理 的 特点 和 优势 。 

(4) 综合 、 系 统 、 全 方位 原则 。 风 险 管理 是 一 项 系统 性 ,综合 性 极 强 的 工作 ,不 仅 其 产 
生 的 原因 复杂 ,而 且 后 果 影响 面 广 , 所 需 处 理 措施 综合 性 强 , 例 如 信息 安全 的 多 目标 特征 
(投资 ,进度 ,质量 、 安 全 ,合同 变更 和 索赔 、 生 产 成 本 、 利 税 等 目标 )。 因 此 ,要 全 面 彻底 地 
降低 乃至 消除 风险 因素 的 影响 ,必须 采取 综合 治理 原则 ,动员 各 方 力 量 , 科 学 分 配 风 险 责 
任 , 建 立 风 险 利 益 的 共同 体 和 信息 安全 全 方位 风险 管理 体系 ,才能 将 风险 管理 的 工作 落 到 
实处 。 

(5) 风险 管理 方案 计划 书 内 容 框架 。 计 划 书 一 般 应 包括 : 信息 安全 概况 ; 四 风险 
识别 (分 类 、 风 险 源 、 预 计 发 生 时 间 点 、 发 生地 、 涉 及 面 等 ); 四 风险 分 析 与 评估 (定性 和 定 
量 的 结论 .后 果 预 测 .重要 性 排序 等 ); @ 风 险 管理 的 工作 组 织 ( 设 立 决 策 机 构 管理 流程 
设计 、 职 责 分 工 、 工 作 标 准 拟订 建立 协调 机 制 等 ); 加 风险 管 理工 作 的 检查 评估 。 

8. 控制 措施 

(1) 经 济 性 措施 : 主要 措施 有 合同 方案 设计 (风险 分 配方 案 、 合 同 结构 设计 、 合 同 条 
款 设计 ) ,保险 方案 设计 (引入 保险 机 制 、 保 险 清单 分 析 、 保 险 合 同 谈判 ) ,管理 成 本 核算 。 

(2) 技术 性 措施 : 技术 性 措施 应 体现 可 行 、 适 用 、 有 效 性 原则 ,主要 有 预测 技术 措施 
(模型 选择 .误差 分 析 、 可 靠 性 评估 ) ,决策 技术 措施 (模型 比 选 、 决 策 程序 和 决策 准则 制定 、 
决策 可 靠 性 预 评估 和 效果 后 评估 ) ,技术 可 靠 性 分 析 ( 建 设 技术 .生产 工艺 方案 .维护 保障 
技术 ) 。 

(3) 组 织 管理 性 措施 : 主要 是 贯彻 综合 .系统 、 全 方位 原则 和 经 济 、 合 理 . 先 进 性 原 
则 ,包括 管理 流程 设计 ,确定 组 织 结构 ,管理 制度 和 标准 制定 、 人 员 选 配 、 岗 位 职责 分 工 , 落 
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实 风险 管理 的 责任 等 。 还 应 提倡 推广 使 用 风险 管理 信息 系统 等 现代 管理 手段 和 方法 。 
5.2 信息 安全 风险 评估 基础 


5.2.1 与 风险 评估 相关 的 概念 


资产 (Asset) : 任何 对 组 织 有 价值 的 事物 。 威 胁 CThreat) : 是 指 可 能 对 资产 或 组 织造 
成 窒 害 的 事故 的 法 在 原因 。 例 如 ,组 织 的 网 络 系 「 | [WX 
统 可 能 受到 来 自 计算 机 病毒 和 黑客 攻击 的 威胁 。 



































来 源 Al 站 [脆弱 点 A2 





脆弱 点 (Vulnerability) : 是 指 资产 或 资产 组 中 能 


















































被 威胁 利用 的 弱点 。 如 员工 缺乏 信息 安全 意识 、 来 源 A2| “| 

使 用 简短 易 被 猜测 的 口令 ,操作 系统 本 身 有 安全 

漏洞 等 。 威 胁 是 利用 脆弱 点 而 对 资产 或 组 织造 [LB 上 
成 损害 的 ,资产 ,威胁 和 脆弱 点 对 应 关系 如 图 5-1 来 源 B1 | || 胸 弘 点 B2 
所 示 。 来 源 B2 








风险 (Risk) , 特定 的 威胁 利用 资产 的 一 种 或 
一 组 薄弱 点 ,导致 资产 的 丢失 或 损害 的 潜在 可 能 。 图 和! 资产 .威胁 和 脆弱 点 对 应 关系 
性 , 即 特定 威胁 事件 发 生 的 可 能 性 与 后 果 的 结 

合 。 风 险 评估 (Risk Assessment) : 对 信息 和 信息 处 理 设施 的 威胁 .影响 (Impact) 和 脆弱 
点 及 三 者 发 生 的 可 能 性 的 评估 。 风 险 评估 也 称 为 风险 分 析 , 就 是 确认 安全 风险 及 其 大 小 
的 过 程 , 即 利用 适当 的 风险 评估 工具 ,包括 定性 和 定量 的 方法 ,确定 资产 风险 等 级 和 优先 
控制 顺序 。 


5.2.2 ”风险 评估 的 基本 特点 


信息 安全 风险 评估 具有 以 下 基本 特点 : 

(1) 决策 支持 性 : 所 有 的 安全 风险 评估 都 旨 在 为 安全 管理 提供 支持 和 服务 ,无 论 它 
发 生 在 系统 生命 周期 的 哪个 阶段 ,所 不 同 的 只 在 于 其 支持 的 管理 决策 阶段 和 内 容 。 

(2) 比较 分 析 性 : 对 信息 安全 管理 和 运营 的 各 种 安全 方案 进行 比较 ,对 各 种 情况 下 
的 技术 经济 投 入 和 结果 进行 分 析 、 权 衡 。 

(3) 前 提 假 设 性 : 在 风险 评估 中 所 使 用 的 各 种 评估 数据 有 两 种 ,一 是 系统 既定 事实 
的 描述 数据 ;二 是 根据 系统 各 种 假设 前 提 条 件 确定 的 预测 数据 。 不 管 发 生 在 系统 生命 周 
期 的 哪个 阶段 ,在 评估 时 ,人 们 都 必须 对 尚未 确定 的 各 种 情况 做 出 必要 的 假设 ,然后 确定 
相应 的 预测 数据 ,并 据 此 做 出 系统 风险 评估 。 没 有 哪个 风险 评估 不 需要 给 定 假设 前 提 条 
件 , 因 此 信息 安全 风险 评估 具有 前 提 假 设 性 这 一 基本 特性 。 

(4) 时 效 性 : 必须 及 时 使 用 信息 安全 风险 评估 的 结果 ,过 期 则 可 能 出 现 失效 而 无 法 
使 用 的 情况 ,失去 风险 评估 的 作用 和 意义 。 

(5) 主观 与 客观 集成 性 : 信息 安全 风险 评估 是 主观 假设 和 判断 与 客观 情况 和 数据 的 


结合 。 
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(6) 目的 性 : 信息 安全 风险 评估 的 最 终 目 的 是 为 信息 安全 管理 决策 和 控制 措施 的 实 
施 提供 支持 。 


5.2.3 ”风险 评估 的 内 涵 


风险 评估 是 信息 安全 建设 和 管理 的 科学 方法 。 风 险 评 估 是 信息 安全 等 级 保护 管理 的 
基础 工作 ,是 系统 安全 风险 管理 的 重要 环节 。 风 险 评 估 是 信息 安全 保障 工作 的 重要 方法 ， 
是 风险 管理 理论 和 方法 在 信息 化 中 的 运用 ,是 正确 确定 信息 资产 ,合理 分 析 信息 安全 风 
险 、 科 学 管理 风险 和 控制 风险 的 过 程 。 信 息 安 全 旨 在 保护 信息 资产 免 受 威胁 。 考 虑 到 各 
类 威胁 ,绝对 安全 可 靠 的 网 络 系统 并 不 存在 ,只 能 通过 一 定 的 措施 把 风险 降低 到 可 以 接受 
的 程度 。 信 息 安 全 评估 是 有 效 保证 信息 安全 的 前 提 条 件 。 只 有 准确 了 解 系统 安全 需求 、 
安全 漏洞 及 其 可 能 的 危害 ,才能 制定 正确 的 安全 策略 ,制定 并 实施 信息 安全 对 策 。 另 外 ， 
风险 评估 也 是 制定 安全 管理 措施 的 依据 之 一 。 还 有 ,客户 单位 业务 主管 并 不 是 不 重视 信 
息 安全 工作 ,而 是 不 知道 具体 的 信息 安全 风险 是 什么 ,不 知道 信息 安全 风险 来 自 何方 \ 有 
多 大 ,不 知道 做 好 信息 安全 工作 要 投入 多 少 人 力 .财力 ,物力 ,不 知道 应 采取 什么 样 的 措施 
来 加 强 信息 安全 保障 工作 ,对 已 采取 的 信息 安全 措施 也 不 知道 是 否 有 效 。 所 以 我 们 说 信 
息 安全 风险 评估 应 该 成 为 各 个 单位 信息 化 建设 的 一 种 内 在 要 求 , 各 主管 和 应 用 单位 应 该 
负责 好 自己 系统 的 信息 安全 风险 评估 工作 。 

风险 评估 是 分 析 确定 风险 的 过 程 。 风 险 评估 是 依据 国家 标准 规范 ,对 信息 系统 的 完 
整 性 、 保 密 性 .可 用 性 等 安全 保障 性 能 进行 科学 .公正 地 综合 评估 地 活动 。 它 是 确认 安全 
风险 及 其 大 小 的 过 程 , 即 利 用 适当 的 风险 评估 工具 ,包括 定性 和 定量 的 方法 ,确认 信息 资 
产 自身 的 风险 等 级 和 风险 控制 的 优先 顺序 。 风 险 评估 是 识别 系统 安全 风险 并 确定 风险 出 
现 的 概率 、 结 果 的 影响 以 及 提出 补充 的 安全 措施 以 缓和 风险 影响 的 过 程 。 风 险 评估 是 信 
息 安全 建设 的 起 点 和 基础 。 风 险 评 估 是 信息 安全 建设 的 起 点 和 基础 ,科学 地 分 析 理 解 信 
息 和 信息 系统 在 保密 性 、 完 整 性 .可 用 性 等 方面 所 面临 的 风险 ,并 在 风险 的 预防 .风险 的 减 
少 ` 风 险 的 转移 风险 的 补偿 .风险 的 分 散 等 之 间 做 出 决策 。 风 险 评估 是 在 倡导 一 种 适度 
安全 。 随 着 信息 技术 在 国家 各 个 领域 的 广泛 应 用 ,传统 的 安全 管理 方法 已 不 适应 信息 技 
术 带 来 的 变化 ,不 能 科学 全 面 地 分 析 、 判 断 网 络 和 信息 系统 的 安全 状态 ,在 网 络 和 信息 系 
统 建设 .运行 过 程 中 ,出 现 了 不 能 采取 适当 的 安全 措施 .投入 适当 的 安全 经 费 , 以 达到 适当 
的 安全 目标 的 偏差 。 

信息 安全 风险 评估 就 是 从 风险 管理 的 角度 ,运用 科学 的 方法 和 手段 ,系统 地 分 析 网 络 
与 信息 系统 所 面临 的 威胁 及 存在 的 脆弱 性 ,评估 安全 事件 一 旦 发 生 可 能 造成 的 危害 程度 ， 
提出 针对 性 抵御 的 防护 对 策 和 整改 措施 ,并 为 防范 和 化 解 信息 安全 风险 或 者 将 风险 控制 
在 可 接受 的 水 平 ,最 大 限度 地 保障 网 络 和 信息 安全 提供 科学 依据 。 

风险 评估 在 信息 安全 保障 体系 建设 中 具有 不 可 替代 的 地 位 和 重要 作用 , 它 是 实施 等 
级 保护 的 前 提 , 又 是 检查 、 衡 量 系统 安全 状况 的 基础 工作 。 风 险 评 估 是 分 析 确 定 风 险 的 过 
程 。 分 析 确 定 系统 风险 及 其 大 小 ,进而 决定 采取 什么 措施 去 减少 、 转 移 、 避 免 和 对 抗 风险 ， 
确定 把 风险 控制 在 可 以 容忍 的 范围 内 ,这 就 是 风险 评估 的 主要 流程 。 
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5.2.4 风险 评估 的 两 种 方式 


信息 安全 风险 评估 是 提高 我 国信 息 安 全 保障 水 平 的 一 项 重要 举措 ,应 当 贯穿 于 网 络 
与 信息 系统 建设 运行 的 全 过 程 。 根 据 评 估 发 起 者 的 不 同 , 风 险 评估 可 分 为 自 评估 、 检 查 评 
估 两 种 方式 。 自 评估 是 信息 安全 风险 评估 的 主要 形式 ,是 指 信息 系统 拥有 、 运 营 或 使 用 单 
位 发 起 的 对 本 单位 信息 系统 进行 的 风险 评估 ,以 发 现 信息 系统 现 有 弱点 。 实 施 安 全 管理 
为 目的 的 检查 评估 是 指 信息 系统 上 级 管理 部 门 或 信息 安全 职能 部 门 组 织 的 信息 安全 风险 
评 佑 。 检 查 评估 是 通过 行政 手段 加 强 信息 安全 的 重要 措施 。 

风险 评估 应 以 自 评估 为 主 ,检查 评估 在 自 评估 过 程 记录 与 评估 结果 的 基础 上 ,验证 和 
确认 系统 存在 的 技术 .管理 和 运行 风险 ,以 及 用 户 实施 自 评估 后 采取 风险 控制 措施 取得 的 
效果 。 自 评估 和 检查 评估 应 相互 结合 、 互 为 补充 。 自 评估 和 检查 评估 都 可 依托 自身 技术 
力量 进行 ,也 可 委托 具有 相应 资质 的 第 三 方 机 构 提 供 技术 支持 。 

美国 等 发 达 国家 , 自 评估 工作 已 经 运行 多 年 ,逐步 形成 了 标准 和 规范 ,大 体 进 入 了 制 
度 化 阶段 。 在 此 基础 上 ,他 们 开始 强调 联邦 一 级 的 认证 认可 , 即 检 查 评估 。 我 国 开展 信息 
安全 风险 评估 工作 滞后 于 发 达 国 家 。 因 此 , 现 阶段 应 该 把 自 评估 工作 尽快 开展 ,规范 起 
来 , 打 好 风险 评估 工作 的 基础 。 

1. 自 评估 

自 评估 是 风险 评估 的 基础 。 要 落实 * 谁 主管 谁 负责 , 谁 运营 谁 负责 ”的 原则 ,信息 系统 
资产 的 拥有 者 .主管 者 .运行 者 首先 应 通过 自 评估 的 方式 对 自己 负责 ,这 样 才能 随时 掌握 
安全 状况 ,不 断 调 整 安全 措施 ,有 效 进 行 安全 控制 。 

自 评估 是 信息 系统 拥有 者 依靠 自身 力量 ,依据 国家 风险 评估 的 管理 规范 和 技术 标准 ， 
对 自 有 的 信息 系统 进行 风险 评估 的 活动 。 信 息 系统 的 风险 不 仅仅 来 自信 息 系统 技术 平台 
的 共性 ,还 来 自 于 特定 的 应 用 服务 。 由 于 具体 单位 的 信息 系统 各 具 特 性 ,这 些 个 性 化 的 过 
程 和 要 求 往 往 是 敏感 的 ,没有 长 期 接触 该 单位 所 属 行业 和 部 门 的 人 难以 在 短期 内 熟悉 和 
掌握 。 而 且 只 有 拥有 者 对 威胁 及 其 后 果 的 体会 最 深 切 。 目 前 的 信息 技术 企业 ,通过 技术 
平台 的 脆弱 性 分 析 , 难 以 真正 掌握 和 了 和 解 具体 行业 或 部 门 的 资产 ,威胁 和 风险 。 这 些 企业 
不 但 需要 深入 研究 信息 技术 平台 的 共性 化 风险 ,还 需要 推动 不 同行 业 部 门 的 个 性 化 风险 
的 专门 研究 ,否则 风险 评估 将 会 出 现 关注 面 的 缺失 。 

自 评估 方式 的 优 缺 点 非常 明显 ,主要 包括 以 下 两 点 。 

优点 : 有 利于 保密 ;有 利于 发 挥 行业 和 部 门 内 的 人 员 的 业务 特长 ;有 利于 降低 风险 评 
估 的 费用 ;有 利于 提升 本 单位 的 风险 评估 能 力 与 信息 安全 知识 。 

缺点 : 如 果 没 有 统一 的 规范 和 要 求 , 在 缺乏 信息 系统 安全 风险 评估 专业 人 才 的 情况 
下 , 自 评 估 的 结果 可 能 不 深入 \ 不 规范 .不 到 位 ; 自 评估 中 ,也 可 能 会 存在 某 些 不 利 的 干预 ， 
从 而 影响 风险 评估 结果 的 客观 性 ,降低 评估 结果 的 置信 和 度 ; 某 些 时 候 , 即 使 自 评估 的 结果 
比较 客观 ,也 必须 与 管理 层 进行 沟通 。 

为 了 扬长 避 短 ,在 自 评估 中 可 以 采用 如 下 改进 办 法 : 发 挥 专家 的 指导 作用 或 委托 专 
业 评 估 组 织 参 与 部 分 工作 :委托 具有 相应 资质 的 第 三 方 机 构 提供 技术 支持 ;由 国家 建立 的 
测评 认证 机 构 或 安全 企业 实施 评估 活动 。 它 既 有 自 评估 的 特点 (由 单位 自身 发 起 ,上 且 本 单 
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位 对 风险 评估 过 程 的 影响 可 以 很 大 ) ,也 有 第 三 方 评估 的 特点 (由 独立 于 本 单位 的 另外 一 
方 实施 评估 ) 。 

委托 第 三 方 机 构 组 织 或 参与 自 评估 活动 的 好 处 在 于 : 在 委托 评估 中 ,接受 委托 的 评 
估 机 构 一 般 拥有 风险 评估 的 专业 人 才 ; 风 险 评估 的 经 验 比 较 丰 富 ; 对 信息 技术 风险 的 共性 
了 解 得 比较 深入 ;评估 过 程 较 为 规范 ,评估 结果 的 客观 性 比较 好 ,置信 度 比较 高 。 

但 在 委托 第 三 方 机 构 组 织 或 参与 自 评估 活动 时 也 要 考虑 以 下 三 个 问题 : 评估 费 
可 能 会 较 高 ; @ 可 能 会 难以 深入 了 解 行业 应 用 服务 中 的 安全 风险 ; 加 由 于 风险 评估 中 必 
然 会 接触 到 被 评估 单位 的 敏感 情况 , 且 评 估 结 果 本 身 也 属于 敏感 信息 ,因此 委托 评估 中 容 
易 发 生 评估 风险 。 

2. 检查 评估 

检查 评估 是 由 信息 安全 主管 部 门 或 业务 主管 部 门 发 起 的 一 种 评估 活动 , 旨 在 依据 已 
经 颁布 的 法 规 或 标准 ,检查 被 评估 单位 是 否 满足 了 这 些 法 规 或 标准 。 信 息 安 全 检查 是 通 
过 行政 手段 加 强 信息 安全 的 重要 措施 ,形式 有 安全 保密 检查 .生产 安全 检查 .专项 检查 等 。 
被 查 单位 应 配合 评估 工作 的 开展 。 

检查 评估 的 实施 可 以 多 样 化 , 既 可 以 依据 国家 法 规 或 标准 的 要 求 ,实施 完整 的 风险 评 
估 过 程 , 也 可 以 在 对 自 评估 的 实施 过 程 .风险 计算 方法 .评估 结果 等 重要 环节 的 科学 合理 
性 进行 分 析 的 基础 上 ,对 关键 环节 或 重点 内 容 实施 抽样 评估 。 

检查 评估 应 覆盖 但 不 限于 以 下 内 容 : 自 评估 方法 的 检查 ; 自 评估 过 程 记 录 检 查 ; 自 评 
估 结 果 跟 踪 检 查 ; 现 有 安全 措施 的 检查 :系统 输入 /输出 控制 的 检查 ; 软 硬 件 维护 制度 及 实 
施 状况 的 检查 ; 突 发 事件 应 对 措施 的 检查 ;数据 完整 性 保护 措施 的 检查 ;审计 追踪 的 检查 。 

检查 评估 一 般 由 主管 机 关 发 起 ,通常 都 是 定期 的 ,抽样 进行 的 评估 模式 , 旨 在 检查 关 
键 领域 或 关键 点 的 信息 安全 风险 是 否 在 可 接受 的 范围 内 。 鉴 于 检查 评估 的 性 质 , 在 检查 
评估 实施 之 前 ,一 般 应 确定 适用 于 整个 评估 工作 的 评估 要 求 或 规范 ,以 适用 于 所 有 被 评估 
单位 。 

由 于 检查 评估 是 由 被 评估 方 的 主管 机 关 实 施 的 ,因此 ,其 评估 结果 最 具 权威 性 ,因为 
被 检查 单位 自身 不 能 对 评估 过 程 进 行 干预 。 

但 是 ,检查 评估 也 有 如 下 限制 : 间隔 时 间 较 长 ,如 一 年 一 次 ,有 时 还 是 抽样 进行 ;不 能 
贯穿 一 个 部 门 信息 系统 生命 周期 的 全 过 程 ,很 难 对 信息 系统 的 整体 风险 状况 做 出 完整 的 
评价 。 

检查 评估 也 可 以 委托 风险 评估 服务 技术 支持 方 实施 ,但 评估 结果 仅 对 检查 评估 的 发 
起 单位 负责 。 由 于 检查 评估 代表 了 主管 机 关 , 涉 及 评估 对 象 也 往往 较 多 ,因此 ,要 对 实施 
检查 评估 机 构 的 资质 进行 严格 管理 。 




















5.3 风险 评估 的 过 程 


5.3.1 风险 评估 基本 步骤 
风险 评估 方法 具有 多 样 . 灵 活 的 特点 。 此 外 :对 风险 评估 方法 的 选择 又 可 依据 组 织 的 
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特点 进行 ,因此 又 具有 一 定 的 自主 性 。 但 无 论 如 何 , 信 息 安 全 风险 评估 过 程 应 包括 以 下 基 
本 操作 步骤 : 第 一 步 , 风 险 评估 准备 ,包括 确定 评估 一 一 一 一 一 



























































范围 组 织 评估 小 组 ;第 二 步 ,风险 因素 识别 ;第 三 步 。 「 风险 评 估 准 和 
风险 确定 ;第 四 步 ,风险 评价 ;第 五 步 ,风险 控制 。 信 | 中 确定 评 信 上 称 | 
息 安 全 风险 评估 过 程 如 图 5-2 所 示 。 (3) 选择 评估 工具 和 方法 

为 使 风险 评估 更 加 有 效 , 这 一 过 程 应 该 作为 组 织 |) 建立 评估 团队 
业务 过 程 的 一 部 分 来 看 待 。 风 险 管理 人 员 希 望 风险 l 
分 析 和 评估 过 程 能 够 对 组 织 的 业务 目标 起 到 积极 的 [厂区 而 来 评 人 
支持 作用 。 需 要 强调 的 是 ,风险 评估 过 程 成 功 与 否 关 |() 信息 资产 评估 Ee 
键 在 其 能 否 被 组 织 所 接受 。 一 个 有 效 的 风险 评估 过 | 外 成 内 评 舍 
程 将 发 现 组 织 的 需求 ,并 与 组 织 的 管理 人 员 积 极 合 将 
作 ,共同 达成 组 织 目标 。 | 人 

为 使 风险 评估 能 够 成 功 进行 ,评估 人 员 和 需要 了 解 | 确定 宫 的 所 币 江 施 | -| 划 
客户 /企业 管理 者 真正 需要 什么 ,并 努力 满足 其 需求 。 |) 计算 风险 值 
一 个 信息 安全 从 业 人 员 来 说 ,风险 评估 过 程 主要 关 前 
注 的 是 信息 资源 的 机 密 性 ,可 用 性 和 完整 性 。 et 

风险 评估 过 程 应 根据 组 织 机 构 的 业务 运作 情况 “(1D 与 风险 准则 作 比较 一 一 
随时 进行 调整 ,许多 时 候 企业 的 管理 者 都 被 告知 需要 【2 于 各 
增加 一 些 安全 控制 措施 ,并 且 这 些 安全 控制 措施 是 审 
计 的 需要 或 者 是 安全 的 需要 ,而 不 是 商业 方面 的 要 -RE Y 
求 。 风 险 评估 工作 就 是 要 在 风险 分 析 的 基础 上 ,帮助 
用 户 找到 对 业务 运行 有 利 的 安全 控制 措施 和 对 策 。 2 

风险 控制 | 

5.3.2 风险 评估 准备 





良好 的 风险 评估 准备 工作 是 使 整个 风险 评估 过 ”图 5-2 信息 安全 风险 评估 过 程 
程 高 效 完成 的 保证 。 计 划 实 施 风险 评估 是 组 织 的 一 
种 战略 性 考虑 ,其 结果 将 受到 组 织 业务 战略 ` 业 务 流程 ` 安 全 需求 ,系统 规模 和 组 成 结构 等 
方面 的 影响 。 因 此 ,在 实施 风险 评估 之 前 ,应 做 到 以 下 几 点 。 

(1) 确定 风险 评估 的 目标 。 在 风险 评估 准备 阶段 应 明确 风险 评估 的 目标 ,为 风险 评 
估 的 过 程 提 供 导 向 。 信 息 系 统 是 企业 的 重要 资产 ,其 机 密 性 、 完 整 性 和 可 用 人 性 对 维持 企业 
的 竞争 优势 . 获 利 能 力 法规 要 求 和 企业 形象 等 具有 十 分 重要 的 意义 。 企 业 要 面 对 日 益 增 
长 的 .来 自 内 部 和 外 部 的 安全 威胁 。 风 险 评估 目标 须 满 足 企业 持续 发 展 在 安全 方面 的 要 
求 ,满足 相关 方 的 要 求 ,满足 法 律 法 规 的 要 求 等 。 

(2) 风险 评估 的 范围 。 基 于 风险 评估 目标 确定 风险 评估 范围 是 完成 风险 评估 的 又 一 
个 前 提 。 风 险 评估 范围 可 能 是 企业 全 部 的 信息 以 及 与 信息 处 理 相关 的 各 类 资产 、 管 理 机 
构 , 也 可 能 是 某 个 独立 的 系统 .关键 业务 流程 ,与 客户 知识 产权 相关 的 系统 或 部 门 等 。 

(3) 选择 与 组 织 机 构 相 适应 的 具体 风险 判断 方法 。 在 选择 具体 的 风险 判断 方法 时 ， 
应 考虑 到 评估 的 目的 、 范 围 . 时 间 、 效 果 、 人 员 素 质 等 诸多 因素 ,使 之 能 够 与 组 织 环 境 和 安 
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全 要 求 相 适应 。 

(4) 建立 风险 评估 团队 。 组 建 适当 的 风险 评估 管理 与 实施 团队 ,以 支持 整个 过 程 的 
顺利 推进 。 如 成 立 由 管理 层 、 相 关 业 务 骨 干 ,信息 技术 人 员 等 组 成 的 风险 评估 小 组 。 风 险 
评估 团队 应 能 够 保证 风险 评估 工作 的 高 效 开 展 。 

(5) 获得 最 高 管理 者 对 风险 评估 工作 的 支持 。 风 险 评估 过 程 应 得 到 企业 最 高 管理 者 
的 支持 .批准 ,并 对 管理 层 和 技术 人 员 进 行 传达 ,应 在 组 织 内 部 对 风险 评估 的 相关 内 容 进 
行 培训 ,以 明确 相关 人 员 在 风险 评估 中 的 任务 。 


5.3.3 风险 因素 评估 


1. 资产 评估 

信息 资产 的 识别 和 赋值 是 指 确定 组 织 信息 资产 的 范围 ,对 信息 资产 进行 识别 ,分 类 和 
分 组 等 ,并 根据 其 安全 特性 进行 赋值 的 过 程 。 

信息 资产 识别 和 赋值 可 以 确定 评估 的 对 象 ,是 整个 安全 服务 工作 的 基础 。 另 外 ,本 阶 
段 还 可 以 帮助 客户 实现 信息 资产 识别 和 价值 评定 过 程 的 标准 化 ,确定 一 份 完整 的 ,最 新 的 
信息 资产 清单 ,这 将 为 客户 的 信息 资产 管理 工作 提供 极 大 帮助 。 

信息 资产 识别 和 赋值 的 首要 步骤 是 识别 信息 资产 ,制定 (信息 资产 列表 》。 信 息 资产 
按照 性 质 和 业务 类 型 等 可 以 分 成 若干 资产 类 ,如 数据 .软件 .硬件 .设备 .服务 和 文档 等 。 
根据 不 同 的 项 目 目标 与 项 目 特点 ,重点 识别 的 资产 类 别 会 有 所 不 同 , 在 通常 的 项 目 中 一 般 
以 数据 .软件 和 服务 为 重点 。 

资产 赋值 可 以 为 机 密 性 、 完 整 性 和 可 用 性 这 三 个 安全 特性 分 别 赋予 不 同 的 价值 等 级 ， 
也 可 以 用 相对 信息 价值 的 货币 来 衡量 。 根 据 不 同 客户 的 行业 特点 、 应 用 特性 和 安全 目标 ， 
资产 三 个 安全 特性 的 价值 会 有 所 不 同 ,如 电信 运营 商 更 关注 可 用 性 ,军事 部 门 更 关注 机 密 
性 等 。 

《信息 资产 列表 ) 将 对 项 目 范围 内 的 所 有 相关 信息 资产 做 出 明确 的 鉴别 和 分 类 ,并 将 
其 作为 风险 评估 工作 后 续 阶段 的 基础 与 依据 。 

2. 威胁 评估 

威胁 是 指 对 组 织 的 资产 引起 不 期 望 事 件 而 造成 损害 的 潜在 可 能 性 。 威 胁 可 能 源 自 对 
企业 信息 直接 或 间接 的 攻击 ,如 非 授 权 的 泄露 , 算 改 删除 等 ,从 而 使 信息 资产 在 机 密 性 、 
完整 性 或 可 用 性 等 方面 造成 损害 ;威胁 也 可 能 源 自 偶发 或 蓄意 的 事件 。 

一 般 来 说 ,威胁 只 有 利用 企业 、 系 统 、 应 用 或 服务 的 弱点 才 有 可 能 对 资产 成 功 实施 破 
坏 。 威 胁 被 定义 为 不 期 望 发 生 的 事件 ,这 些 事件 会 影响 业务 的 正常 运行 ,使 企业 不 能 顺利 
达成 其 最 终 目 标 。 一 些 威胁 是 在 已 存在 控制 措施 的 情况 下 发 生 的 ,这 些 控制 措施 可 能 是 
没有 正确 配置 或 过 了 有 效 期 的 ,因此 为 威胁 进入 操作 环境 提供 了 机 会 ,这 个 过 程 就 是 我 们 
通常 所 说 的 利用 漏洞 的 过 程 。 威 胁 评估 是 指 列 出 每 项 抽样 选取 的 信息 资产 面临 的 威胁 ， 
并 对 威胁 发 生 的 可 能 性 进行 赋值 。 威 胁 发 生 的 可 能 性 受 以 下 两 方面 因素 影响 : @ 资 产 的 
吸引 力 和 曝光 程度 ` 组 织 的 知名 度 , 这 主要 在 考虑 人 为 故意 威胁 时 使 用 ; 四 资产 转化 成 利 
润 的 容易 程度 ,包括 财务 的 利益 .黑客 获得 运算 能 力 很 强 和 带宽 很 大 的 主机 的 使 用 权 等 利 
益 , 这 主要 在 考虑 人 为 故意 威胁 时 使 用 。 
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在 对 威胁 进行 评估 之 前 ,首先 需要 对 威胁 进行 分 析 , 威 胁 分 析 主要 包括 以 下 内 容 : 法 
在 威胁 分 析 是 指 对 用 户 信息 安全 方面 潜在 的 威胁 和 可 能 的 入 侵 做 出 全 面 的 分 析 。 潜 在 威 
胁 主 要 是 指 根据 每 项 资产 的 安全 弱点 而 引发 的 安全 威胁 。 通 过 对 漏洞 的 进一步 分 析 , 可 
以 对 漏洞 可 能 引发 的 威胁 进行 赋值 ,主要 是 依据 威胁 发 生 的 可 能 性 和 造成 后 果 的 严重 性 
来 对 其 赋值 。 潜 在 威胁 分 析 过 程 主要 基于 当前 社会 普遍 存在 的 威胁 列表 和 统计 信息 。 威 
胁 审 计 和 入 侵 检测 是 指 利用 审计 和 技术 工具 对 组 织 面临 的 威胁 进行 分 析 。 威 胁 审计 是 指 
利用 审计 手段 发 现 组 织 曾经 发 生 过 的 威胁 并 加 以 分 析 。 威胁 审计 的 对 象 主要 包括 组 织 的 
安全 事件 记录 ,故障 记录 系统 日 志 等 。 在 威胁 审计 过 程 中 ,咨询 顾问 收集 这 些 历史 资料 ， 
寻找 异常 现象 ,从 中 发 现 威胁 情况 并 编写 审计 报告 。 入 侵 检测 主要 作用 于 网 络 空间 ,是 指 
利用 入侵 检测 系统 对 组 织 网 络 当前 阶段 所 经 受 的 内 部 和 外 部 攻击 或 威胁 进行 分 析 。 威 胁 
评估 主要 包括 以 下 内 容 : 威胁 识别 ,建立 威胁 列表 。 建 立 一 个 完整 的 威胁 列表 可 以 有 许 
多 不 同 的 方法 。 例 如 ,可 以 建立 一 个 检查 列表 ,但 需要 注意 不 要 过 分 依赖 这 种 列表 , 如果 
使 用 不 当 ,这 种 列表 可 能 会 造成 评估 人 员 思 路 的 任意 发 散 , 使 问题 变 得 庞杂 ,因此 在 使 用 
检查 列表 之 前 首先 需要 确保 所 涉及 的 威胁 已 被 确认 且 全 部 威胁 得 到 了 芥 盖 。 在 确定 风险 
级 别 (可 能 性 与 影响 ) 时 ,应 建立 一 个 评估 框架 ,通过 它 来 确定 风险 情况 。 另 外 ,还 应 考虑 
到 已 有 控制 措施 对 威胁 可 能 产生 的 阻碍 作用 。 典 型 的 做 法 是 : 在 对 某 个 框架 进行 评估 
时 ,首先 假设 发 现 的 威胁 是 在 没有 控制 措施 的 情况 下 发 生 的 ,这 样 有 助 于 风险 评估 小 组 奸 
立 一 个 最 基本 的 风险 基线 ,在 此 基线 基础 上 再 来 识别 安全 控制 和 安全 防护 措施 ,以 及 评价 
这 些 措施 的 有 效 性 。 威 胁 发 生 概率 和 产生 影响 的 评 网 渐 产生 国电 岗 


























估 结 论 是 识别 和 确定 每 种 威胁 发 生 风 险 的 等 级 。 对 局 高 | 中 | 你 
风险 进行 等 级 化 需要 对 威胁 产生 的 影响 做 出 定义 ， 和 集 | 高 | 高 | 高 | 让 | 从 
如 可 将 风险 定义 为 高 ,中 、 低 等 风险 ,也 可 以 建立 一 外 | 中 | 高 | 高 | 中 | 大 
个 概率 一 一 影响 箱 阵 , 即 风险 矩阵 ,如 图 5-3 所 示 。 和 萝 L 低 | 中 | 中 | 低 




















3， 弱点 评估 图 5-3 风险 矩阵 

弱点 评估 是 指 通过 技术 检测 .试验 和 审计 等 方 
法 ,寻找 用 户 信 息 资 产 中 可 能 存在 的 弱点 ,并 对 弱点 的 严重 性 进行 估 值 。 弱 点 的 严重 性 主 
要 是 指 可 能 引发 的 影响 的 严重 性 ,因此 与 影响 密切 相关 。 关 于 技术 性 弱点 的 严重 性 ,一 般 
都 是 指 可 能 引发 的 影响 的 严重 性 ,通常 将 之 分 为 高 .中 、 低 三 个 等 级 。@ 高 等 级 。 可 能 导 
致 超级 用 户 权限 被 获取 、 机 密 系统 文件 被 读 / 写 .系统 崩溃 等 严重 资产 损害 的 影响 ,一 般 指 
远程 缓冲 区 溢出 、 超 级 用 户 密 码 强 度 太 弱 、 严 重 拒 绝 服 务 攻击 等 弱点 。@ 中 等 级 。 介 于 高 
等 级 和 低 等 级 之 间 的 弱点 ,一 般 不 能 直接 被 威胁 利用 ,需要 和 其 他 弱点 组 合 后 才能 产生 影 
响 ,或 者 可 以 直接 被 威胁 利用 .但 只 能 产生 中 等 影响 。 一 般 指 不 能 直接 被 利用 而 造成 超级 
用 户 权限 被 获取 、 机 密 系 统 文件 被 读 / 写 、 系 统 崩 溃 等 影响 的 弱点 。@@ 低 等 级 。 可 能 会 导 
致 一 些 非 机 密 信 息 泄 露 . 非 严 重 滥用 和 误 用 等 不 太 严重 的 影响 。 一 般 指 信息 泄露 .配置 不 
规范 。 如 果 配 置 不 当 可 能 会 引起 危害 的 弱点 ,这 些 弱 点 即使 被 威胁 利用 也 不 会 引起 严重 
的 影响 。 参 考 这 些 业 界 通用 的 弱点 严重 性 等 级 划分 标准 ,在 实际 工作 过 程 中 一 般 采 用 以 
下 等 级 划分 标准 , 即 把 资产 的 弱点 严重 性 分 为 5 个 等 级 ,分 别 为 很 高 (VH)、 高 (H)、 中 等 
(MD 、 低 (L) 可 忽略 CN) ,并 且 从 高 到 低 分 别 赋值 为 4.3、2、1、0, 如 表 5-1 所 示 。 








表 5-1 弱点 严重 性 赋值 标准 





赋值 | 简称 说 明 


该 弱点 车 被 威胁 利用 ,可 以 造成 资产 全 部 损失 或 不 可 用 、 持 续 业 务 中 断 、 巨 大 财务 损失 
等 非常 严重 的 影响 


3 H | 该 弱点 车 被 威胁 利用 ,可 以 造成 资产 重大 损失 、 业 务 中 断 、 较 大 财务 损失 等 严重 的 影响 
2 M | 该 弱点 若 被 威胁 利用 ,可 以 造成 资产 损失 ,业务 受到 损害 .中 等 财务 损失 等 影响 
1 L | 该 弱点 车 被 威胁 利用 ,可 以 造成 较 小 资产 损失 并 立即 可 以 控制 . 较 小 财务 损失 等 影响 


该 弱点 可 能 造成 资产 损失 可 以 被 忽略 ,对 业务 基本 无 损害 ,只 造成 轻微 或 可 忽略 的 财 
务 损失 等 影响 























在 实际 评估 工作 中 ,技术 性 弱点 的 严重 性 值 一 般 参考 扫描 器 或 CVE 标准 中 的 值 ,并 
做 适当 修正 ,以 获得 适用 的 弱点 严重 性 值 。 弱 点 评估 可 以 分 别 在 管理 和 技术 两 个 层面 上 
进行 ,主要 包括 技术 弱点 检测 、 网 络 构架 与 业务 流程 分 析 、 策 略 与 安全 控制 实施 审计 ,安全 
弱点 综合 分 析 等 。 

技术 弱点 检测 是 指 通过 工具 和 技术 手段 对 用 户 实际 信息 进行 弱点 检测 ,技术 弱点 检 
测 包 括 扫描 和 模拟 渗透 测试 。 扫 描 根 据 扫 描 范 围 不 同 , 分 为 远程 扫描 和 本 地 扫描 。 远 程 
扫描 : 从 组 织 外 部 用 扫描 工具 对 整个 网 络 的 交换 机 、 服 务 器 .主机 和 客户 机 进行 检查 , 检 
测 这 些 系 统 是 否 存在 已 知 弱 点 。 远 程 扫 描 对 统计 分 析 用 户 信息 系统 弱点 的 分 布 范围 .出 
现 概率 等 起 着 重要 作用 。 在 远程 扫描 过 程 中 ,咨询 顾问 首先 需要 制定 扫描 计划 ,确定 扫描 
内 容 .工具 和 方法 ,在 计划 中 必须 考虑 到 扫描 过 程 对 系统 正常 运行 可 能 造成 的 影响 ,并 提 
出 相应 的 风险 规避 和 紧急 处 理 ,恢复 措施 ,然后 向 客户 提交 扫描 申请 , 征 得 客户 同意 后 开 
始 部 署 扫描 工具 ,配置 并 开始 自动 扫描 过 程 。 远 程 扫描 的 时 间 一 般 视 扫描 范围 和 数量 而 
定 。 远 程 扫描 完成 后 ,咨询 顾问 对 扫描 结果 进行 分 析 , 并 编制 完成 (远程 扫描 评估 报告 》。 
本 地 扫描 : 从 组 织 内 部 用 扫描 工具 对 内 部 网 络 的 交换 机 、 服 务 器 、 主 机 和 客户 机 进行 检 
查 ,检测 这 些 系统 是 否 存 在 已 知 弱点 。 由 于 大 部 分 组 织 对 网 络 内 部 的 防护 通常 要 弱 于 外 
部 防护 ,因此 本 地 扫描 在 发 现 弱点 的 能 力 方面 要 比 远程 扫描 强 。 类 似 地 ,在 本 地 扫描 过 程 
中 ,也 首先 需要 制定 扫描 计划 ,确定 扫描 内 容 、 工 具 和 方法 ,以 及 考虑 扫描 过 程 对 系统 正常 
运行 可 能 造成 的 影响 ,并 提出 相应 的 风险 规避 和 紧急 处 理 , 恢 复 措施 ;然后 向 客户 提交 扫 
描 申请 , 征 得 客户 同意 后 开始 部 署 扫描 工具 ,配置 并 开始 自动 扫描 过 程 。 本 地 扫描 完成 
后 ,对 扫描 结果 进行 分 析 并 编制 完成 (本 地 扫描 评估 报告 》。 模 拟 渗透 测试 是 指 在 客户 的 
允许 下 和 可 控 的 范围 内 ,采取 可 控 的 、 不 会 造成 不 可 弥补 损失 的 黑客 人 侵 手 法 ,对 客户 网 
络 和 系统 发 起 “真正 ”攻击 ,发现 并 利用 其 弱点 实现 对 系统 的 入 侵 。 渗 透 测试 和 工具 扫描 
可 以 很 好 地 实现 互相 补充 。 工 具 扫 描 具 有 很 好 的 效率 和 速度 ,但 存在 一 定 的 误 报 率 , 不 能 
发 现 深 层次 、 复 杂 的 安全 问题 。 渗 透 测试 需要 投入 的 人 力 资源 较 大 、 对 测试 者 的 专业 技能 
要 求 较 高 (渗透 测试 报告 的 价值 直接 依赖 于 测试 者 的 专业 技能 ) ,但 可 以 发 现 逻 辑 性 更 强 、 
更 深层 次 的 弱点 。 
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5.3.4 风险 确定 


在 确定 风险 之 前 ,首先 需要 对 现 有 安全 措施 做 出 评估 ,然后 进行 综合 风险 分 析 。 

现 有 安全 措施 评估 是 指 对 组 织 目前 已 采取 的 、 用 于 控制 风险 的 技术 和 管理 手段 的 实 
施 效果 做 出 评估 。 现 有 安全 措施 评估 包括 安全 技术 措施 评估 和 安全 策略 实施 审计 ,分 别 
在 技术 和 管理 两 个 方面 进行 评估 。 安全 技术 措施 评估 对 信息 系统 中 已 采取 的 安全 技术 的 
有 效 性 做 出 评估 。 这 些 安全 技术 措施 涉及 物理 层 、 网 络 层 、 应 用 层 和 数据 层 等 ,在 安全 技 
术 措 施 评估 过 程 中 ,评估 人 员 根据 信息 资产 列表 分 别 列 出 已 采取 的 安全 措施 和 控制 手段 ， 
分 析 其 保护 的 机 理 和 有 效 性 ,并 对 保护 能 力 的 强 弱 程 度 进行 赋值 。 安 全 策略 实施 审计 对 

组 织 所 采取 的 安全 管理 策略 的 有 效 性 做 出 评估 。 安 全 策略 实施 审计 基于 策略 和 安全 控制 

审计 的 结果 , 它 对 组 织 中 安全 策略 的 实施 能 力 和 实施 效果 进行 审计 ,并 对 其 进行 赋值 。 

现 有 安全 措施 评估 将 生成 6 现 有 安全 措施 评估 报告 ), 内 容 包 括 对 所 评估 安全 技术 措 
施 和 安全 管理 策略 的 针对 性 有 效 性 ,集成 性 ,标准 性 ,可 管理 性 、 可 规划 性 等 方面 所 做 的 
评价 。 综 合 风险 分 析 将 依据 以 上 评估 产生 的 信息 资产 列表 、 弱 点 和 漏洞 评估 威胁 评估 和 
现 有 安全 措施 评估 等 ,进行 全 面 ,综合 的 评估 ,并 得 出 最 终 的 风险 分 析 报 告 。 在 综合 风险 
分 析 过 程 中 ,评估 人 员 将 依据 评估 准备 阶段 确定 的 计算 方法 计算 出 每 项 信息 资产 的 风险 
值 ,然后 通过 分 析 和 汇总 最 终 形成 (安全 风险 综合 评估 报告 》。 
5.3.5 风险 评价 

《安全 风险 综合 评估 报告 综合 了 在 风险 评估 过 程 中 对 资产 评估 ,资产 抽样 漏洞 和 脆 
弱 性 分 析 威胁 分 析 .当前 安全 措施 分 析 等 各 个 方面 所 做 的 评估 情况 和 评估 结果 ,是 对 风 
险 所 做 的 综合 分 析 和 评估 ,对 所 评估 的 信息 资产 的 风险 给 出 了 评价 或 评级 。 

例如 ,在 安 氏 评估 方法 中 ,对 应 影响 有 一 个 属性 , 即 严重 性 。 该 属性 等 同 于 弱点 的 严 
重 性 ,通常 将 影响 严重 性 分 为 5 个 等 级 ,分 别 为 很 高 (VH) ,高 (H) .中 等 (M)、 低 (L) .可 忽 
略 CN) ,并 且 从 高 到 低 分 别 赋值 为 4.3.2、.1.0, 如 表 5-2 所 示 。 

表 5-2 影响 严重 性 赋值 标准 

赋值 | 简称 说 肯 
| 可 以 造成 资产 全 部 损失 或 不 可 用 、 持 续 业务 中 断 .巨大 财务 损失 等 非常 严重 的 影响 
| 可 以 造成 资产 重大 损失 、 业 务 中 断 、 较 大 财务 损失 等 严重 的 影响 
| 可 以 造成 资产 损失 ,业务 受到 损害 .中 等 财务 损失 等 影响 
| 可 以 造成 较 小 资产 损失 并 立即 可 以 控制 . 较 小 财务 损失 等 影响 




















0 N | 资产 损失 可 以 被 忽略 ,对 业务 基本 无 损害 ,只 造成 轻微 或 可 忽略 的 财务 损失 等 影响 





5.3.6 ”风险 控制 


风险 评价 的 结果 是 列 出 风险 的 列表 ,并 用 一 种 双方 认可 的 方法 对 这 些 风险 进行 赋值 ， 
如 分 级 的 方法 ,并 对 风险 大 小 进行 排序 ,判断 风险 的 可 接受 程度 。 在 评价 风险 等 级 后 , 评 
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估 小 组 应 识别 和 确定 消除 风险 或 者 将 风险 降低 至 可 接受 程度 的 相应 控制 措施 ,这 属于 风 
险 管理 和 控制 内 容 。 风 险 评估 的 最 终 目 的 是 为 企业 的 商业 目的 提供 安全 服务 ,为 管理 者 
的 决策 提供 支持 ,因此 风险 评估 小 组 还 应 提出 有 效 的 有 利于 减 小 风险 的 控制 措施 和 方 
法 ,并 对 这 些 措施 和 方法 进行 记录 。 判 定 控制 措施 和 方法 是 否 有 效 的 一 种 可 行 方法 是 评 
估 一 下 在 实施 这 些 控制 措施 和 方法 后 的 风险 情况 。 如 果 风 险 等 级 得 以 降低 , 降 到 了 可 接 
受 的 程度 ,那么 认为 这 些 风 险 控制 措施 和 方法 是 有 效 的 ;如 果 风 险 等 级 没有 降低 到 一 个 可 
接受 的 程度 ,那么 认为 这 些 风险 控制 措施 和 方法 是 无 效 的 或 效力 不 够 ,评估 小 组 和 管理 者 
应 考虑 提出 和 采用 其 他 风险 控制 措施 和 方法 。 无 论 选 择 什么 样 的 控制 措施 和 方法 ,都 要 
考虑 到 在 其 实施 过 程 中 能 对 组 织 产生 的 影响 。 每 种 控制 措施 和 方法 在 一 定 程度 上 都 会 产 
生 影 响 , 如 实施 控制 的 费用 、 对 生产 率 的 影响 等 ,即使 选择 的 控制 措施 是 一 个 全 新 的 工作 
流程 ,也 要 考虑 对 员工 的 影响 等 。 

另外 ,还 要 考虑 控制 措施 本 身 的 安全 性 和 可 靠 性 ,看 其 是 否 能 保证 企业 工作 于 一 种 安 
全 的 模式 下 。 如 果 不 能 保证 这 一 点 ,那么 实际 上 评估 小 组 将 企业 推 到 了 一 个 可 能 是 更 大 
的 风险 面前 。 

对 风险 控制 措施 的 投入 应 与 业务 目标 遭 到 破坏 后 可 能 受到 的 损失 相 平 衡 。 如 果 保 护 
某 项 资产 所 需 的 费用 比 该 资产 自身 的 价值 或 其 产生 的 价值 还 要 高 ,那么 投资 的 回报 率 就 
太 低 了 ,可 以 认为 风险 控制 措施 “得 不 偿 失 ”, 因 此 对 一 种 威胁 的 多 种 控制 措施 要 进行 仔细 
的 相互 比较 ,以 便 找到 最 佳 的 方法 。 为 使 风险 分 析 过 程 更 加 有 效 , 这 一 过 程 应 在 整个 组 织 
范围 内 进行 。 也 就 是 说 ,对 构成 风险 评估 过 程 的 所 有 要 素 和 方法 都 做 好 标准 化 ,并 要 求 在 
所 有 的 部 门 都 使 用 这 一 标准 。 风 险 分 析 的 结果 是 为 企业 确定 降低 威胁 和 风险 的 控制 措施 
和 方法 。 表 5-3 给 出 了 一 个 风险 控制 措施 的 案例 。 

表 5-3 一 个 风险 控制 措施 案例 





控制 


类 别 控制 方式 


描 述 
操作 人 员 要 对 操作 的 数据 进行 备份 ,包括 添加 电子 标签 并 提交 给 系统 


1 | 可 作 | 备份 管理 员 ;同时 对 备份 过 程 进行 验证 





为 确保 一 个 应 用 或 信息 能 被 恢复 ,必须 建立 系统 或 数据 恢复 计划 ,并 


2 | 操作 | 锋 复 计划 对 恢复 计划 建立 文档 ;同时 验证 恢复 计划 的 可 能 性 





进行 一 次 风险 评估 ,以 确定 可 能 面 对 的 威胁 等 级 ;同时 识别 出 相应 的 


3 | 操作 | 风险 分 析 控制 措施 





确保 局 域 网 良好 的 管理 ,在 局 域 网 的 所 有 计算 机 上 安装 企业 级 的 标准 
版 杀毒 软件 ;做 好 防 病毒 技术 方面 的 培训 ,关注 防 病毒 方法 的 发 展 ,并 
将 这 一 过 程 列 入 企业 信息 的 保护 计划 中 





识别 和 确定 用 于 传送 信息 的 系统 ,通过 增加 提示 的 方式 来 强调 其 功能 
的 重要 性 ,确保 它 在 使 用 过 程 中 不 发 生 操作 错误 ,以 免 造 成 不 必要 的 
损失 





记录 并 保证 技术 维护 所 需 的 时 间 














第 5 章 ， 信 息 安全 风险 管理 与 评估 NA 
一 











续 表 
忆 | 控制 
编号 类 别 控制 方式 描 述 
7 | 操作 | 服务 等 级 协议 | 通过 客户 支持 建立 服务 等 级 协议 ,以 满足 客户 需求 
8 | 操作 | 变更 管理 建立 变更 控制 措施 ,建立 更 改 计划 ,以 保证 数据 存储 的 完整 有 效 
进行 正式 的 商业 影响 分 析 , 通 过 这 种 方式 确定 某 一 资产 相对 其 他 企业 


9 | 操作 | 商业 影响 分 析 资产 的 重要 程度 





对 已 有 的 应 用 进行 改进 后 要 重新 进行 测试 ,以 判断 改进 的 结果 是 否 可 
接受 或 可 行 


为 使 系统 或 应 用 得 到 正确 使 用 , 须 设计 一 套 完备 的 培训 计划 ,培训 计 


10 | 应 用 | 可 接受 性 测试 














a 且 划 应 与 企业 的 政策 保持 一 致 

12 | 应 用 | 纠正 策略 。 “| 开发 部 门 应 对 返工 .修改 等 制定 相应 的 策略 

| 用 户 培训 包括 培训 用 户 如 何 正确 使 用 系统 ,认识 到 保护 好 自己 账户 、 
密码 的 重要 性 

14 | 安全 | 资产 分 类 ”| 对 资产 进行 分 类 ,分 类 标准 依据 企业 政策 ,标准 和 工作 模式 等 

15 | 安全 | 访问 控制 。 | 增加 安全 机 制 ,保护 数据 库 中 的 数据 免 受 非 授权 用 户 的 访问 

16 | 安全 | 优先 级 对 公司 资产 进行 等 级 划分 ,确保 按 等 级 进行 访问 

17 | 系统 | 系统 日 志 。 ”| 建立 系统 日 志 ,记录 系统 发 生 的 事件 

18 | 物理 | 物理 安全 。 | 进行 风险 分 析 , 发 现 可 能 存在 的 威胁 


男 外 一 种 建立 风险 控制 措施 的 方法 是 使 用 相关 标准 , 如 国际 标准 化 组 织 的 
ISO17799, 它 比较 详尽 地 列举 了 可 能 存在 的 风险 控制 措施 。 


5.4 风险 评估 过 程 中 应 注意 的 问题 


5.4.1 信息 资产 的 赋值 


(1) 明确 评估 范围 。 信 息 资产 的 赋值 是 进行 风险 评估 的 关键 ,如 果 参 与 风险 评估 的 
人 员 对 信息 资产 的 价值 没有 一 个 统一 的 认识 ,那么 要 进行 一 个 准确 的 风险 评估 是 很 困难 

在 信息 资产 识别 过 程 中 ,风险 评估 小 组 负责 人 和 信息 资产 拥有 者 要 定义 被 评估 的 过 
程 、 应 用 、 系 统 及 其 所 涉及 的 信息 资产 。 此 处 的 关键 是 确立 评估 的 边界 ,许多 不 成 功 的 风 
险 评估 案例 主要 都 是 由 于 评估 的 范围 没有 确定 好 或 者 评估 范围 被 不 断 扩 大 直至 无 法 控制 
而 造成 的 。 在 执行 一 个 风险 评估 项 目 时 ,定义 资产 就 是 确定 评估 范围 ,有 关 评 估 范 围 的 所 
有 描述 都 应 为 资产 定义 服务 。 在 任何 一 个 风险 评估 项 目 中 ,评估 者 和 资产 拥有 者 都 应 对 
评估 的 内 容 和 相关 的 参数 表示 达成 共识 ,并 以 书面 形式 记录 下 对 评估 任务 的 描述 与 声明 。 
在 项 目 声明 中 应 描述 出 识别 的 结果 ,如 * 评 估 小 组 将 识别 出 被 评估 资产 潜在 的 威胁 ,并 依 
据 其 发 生 的 可 能 性 大 小 对 这 些 潜在 的 威胁 进行 排序 ,或 依据 其 发 生 时 对 信息 资产 的 影响 
大 小 进行 排序 ;使 用 风险 列表 ,评估 小 组 将 识别 出 可 能 发 挥 作用 的 控制 措施 ,使 信息 资产 
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面临 的 风险 降 至 可 接受 的 程度 ”, 这 就 是 风险 评估 范围 的 描述 , 它 明 确 了 风险 评估 的 范围 

(2) 确定 评估 参数 。 应 在 讨论 评估 项 目 所 涉及 的 参数 时 投入 足够 的 时 间 , 尽 管 这 些 
参数 会 随 项 目的 不 同 而 发 生 改变 ,但 对 任何 项 目 都 应 考虑 到 以 下 几 个 方面 的 内 容 : @ 评 
估 目 的 。 如 果 评 估 的 目的 是 为 了 纠正 问题 ,那么 应 识别 和 确定 产生 问题 的 原因 。 风 险 评 
估 的 目的 是 为 了 推进 某 一 任务 的 进程 ,那么 首先 就 应 该 明确 该 任务 的 目的 是 什么 ,风险 评 
估 的 目的 是 什么 。@ 面 向 对 象 。 即 面向 风险 评估 的 受益 者 ,明确 谁 是 风险 评估 结果 的 接 
收 者 。@ 提 交 的 文档 。 风 险 评估 过 程 中 需要 记录 或 提交 的 文档 ,包括 威胁 识别 记录 、 风 险 
级 别 记录 、 可 用 的 控制 措施 列表 等 。@@ 所 需 资 源 。 为 完成 风险 评估 需要 得 到 的 支持 ,包括 
财务 方面 的 支持 、 人 员 方 面 的 支持 ,设备 方面 的 支持 和 服务 等 。@ 制 约 因 素 。 识 别 和 确定 
那些 可 能 影响 项 目 实 施 和 文档 交付 的 因素 和 条 件 , 如 法 律 \ 法 规 、 政 策 、 环 境 条 件 等 。@ 假 
设 。 识 别 和 确定 评估 小 组 认为 是 正确 的 或 已 完成 的 工作 ,包括 已 完成 的 框架 上 的 风险 评 
佑 ,已 完成 的 最 基本 的 控制 措施 等 。 标准 。 对 客户 如 何 看 待 评估 结果 和 评估 成 功 与 否 
达成 一 致 , 确 定 客户 对 风险 评估 时 间 、 费 用 和 质量 的 评价 标准 ,评价 标准 是 相对 的 。 依 据 
评估 标准 ,可 以 对 评估 结果 是 否 满 足 最 初 的 要 求 进行 度量 。 评 估 人 员 需 要 帮助 客户 澄清 
其 真实 的 愿望 ,以 便 确 保 评 价 标准 能 够 正确 反映 出 评估 成 功 与 否 。 

信息 资产 赋值 对 信息 资产 进行 赋值 并 不 是 一 件 容 易 的 事情 ,通常 需要 资产 拥有 者 的 
积极 配合 。 对 其 做 好 形式 化 描述 是 进行 合理 赋值 的 基础 , 随 着 信息 经 济 学 的 产生 和 发 展 ， 
为 信息 价值 的 正确 评价 创造 了 条 件 。 

目前 人 们 常用 的 信息 资产 赋值 方法 是 对 资产 价值 进行 等 级 化 ,对 资产 在 机 密 性 、 完 整 
性 和 可 用 性 方面 须 达 到 的 程度 进行 分 析 , 并 在 此 基础 上 得 出 一 个 综合 的 结果 。 

1) 资产 机 密 性 赋值 

根据 资产 在 机 密 性 方面 的 不 同 要 求 , 将 其 分 为 若干 不 同等 级 ,分 别 对 应 资产 在 机 密 性 
方面 应 达成 的 不 同 程度 或 者 机 密 性 缺失 时 对 整个 组 织 可 能 造成 的 影响 。 表 5-4 提供 了 一 
个 有 关机 密 性 赋值 的 参考 。 

表 5-4 资产 机 密 性 赋值 表 

赋值 标识 定 义 
高 。 | 包含 组 织 的 重要 秘密 , 泄 沁 它 会 使 组 织 的 安全 和 利益 遭受 严重 损害 
2 | 中 等 。 | 包含 组 织 的 一 般 秘密 ,泄漏 它 会 使 组 织 的 安全 和 利益 受到 损害 


包含 仅 能 在 组 织 内 部 或 组 织 某 一 部 门 公开 的 信息 ,向 外 扩散 它 有 可 能 对 组 织 的 安全 
和 利益 造成 损害 





3 











1 








0 | 可 忽略 | 包含 可 对 社会 公开 的 信息 .公用 的 信息 处 理 设备 和 系统 资源 等 





2) 资产 完整 性 赋值 

根据 资产 在 完整 性 方面 的 不 同 要 求 ,将 其 分 为 若干 不 同等 级 ,分别 对 应 资产 在 完整 性 
方面 应 达成 的 不 同 程度 或 者 完整 性 缺失 时 对 整个 组 织 可 能 造成 的 影响 。 表 5-5 提供 了 一 
个 有 关 完 整 性 赋值 的 参考 。 
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表 5-5 资产 完整 性 赋值 表 




















赋值 | 标识 定义 
we | 完整 性 价值 较 高 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 影响 ,对 业务 冲击 严 
重 , 比 较 难以 弥补 
» | i 完整 性 价值 中 等 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 影响 ,对 业务 冲击 明显 ,但 
可 弥补 
i 完整 性 价值 较 低 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 轻微 影响 ,可 以 忍受 ,对 业 
务 冲 击 轻微 ,容易 弥补 
0 | 吉 和 忽略 | 完整 性 价值 非常 低 ,未 经 授权 的 修改 或 破坏 对 组 织造 成 的 影响 可 以 忽略 ,对 业务 
冲击 可 以 忽略 
3) 资产 可 用 性 赋值 


根据 资产 在 可 用 性 方面 的 不 同 要 求 ,将 其 分 为 若干 不 同等 级 ,分 别 对 应 资产 在 可 用 性 
方面 应 达成 的 不 同 程度 或 者 可 用 性 缺失 时 对 整个 组 织 可 能 造成 的 影响 。 表 5-6 提供 了 一 
个 有 关 可 用 性 赋值 的 参考 。 
表 5-6 资产 可 用 性 赋值 表 
定义 


可 用 怕 
可 用 性 


可 用 性 


价值 较 高 ， 


,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 达 到 每 天 90% 以 上 


价值 中 等 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 到 


70% 以 上 


价值 较 低 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 到 





25% 以 上 
可 用 性 价值 可 以 忽略 ， 
低 于 25% 





合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 





4) 资产 重要 性 等 级 划分 





最 后 依据 资产 在 机 密 性 完整 性 和 可 用 性 方面 的 赋值 等 级 ,经 过 综合 评定 得 出 资产 价 
值 。 在 综合 评定 时 ,可 以 根据 组 织 自身 的 特点 ,选择 对 资产 机 密 性 、 完 整 性 和 可 用 性 最 重 
要 的 一 个 属性 赋值 等 级 作为 资产 的 最 终 赋值 结果 ,也 可 以 根据 资产 机 密 性 、 完 整 性 和 可 用 
性 的 不 同 重要 程度 对 其 赋值 进行 加 权 计算 而 得 到 资产 的 最 终 赋 值 ,加 权 方 法 可 以 根据 组 
织 的 业务 特点 确定 。 最 后 将 资产 价值 分 级 表示 ,级 别 越 高 表示 资产 的 重要 性 程度 越 高 。 
表 5-7 提供 了 一 个 有 关 资 产 重要 性 等 级 划分 的 参考 。 


表 5-7 资产 重要 性 等 级 划分 












































赋值 | 标识 定 义 

4 高 重要 ,其 安全 属性 遭 到 破坏 后 可 能 对 组 织造 成 比较 严重 的 损失 

3 中 等 比较 重要 ,其 安全 属性 遭 到 破坏 后 可 能 对 组 织造 成 中 等 程度 的 损失 

2 低 不 太 重要 ,其 安全 属性 遭 到 破坏 后 可 能 对 组 织造 成 较 低 的 损失 

1 很 低 不 重要 ,其 安全 属性 遭 到 破坏 后 对 组 织造 成 的 损失 很 小 ,甚至 可 以 忽略 不 计 
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5.4.2 评估 过 程 的 文档 化 


完成 风险 评估 后 ,评估 结果 应 以 正式 格式 的 文档 提交 给 信息 资产 的 拥有 者 。 该 报告 
将 帮助 高 层 管理 者 和 商业 运营 者 在 策略 、 商 业 过 程 、 预 算 和 改进 管理 等 方面 做 出 合理 
决策 。 

风险 分 析 报 告 应 以 一 种 可 行 性 分 析 报 告 的 方式 提交 ,通过 对 信息 安全 风险 系统 全 面 
的 分 析 , 使 高 层 管理 者 了 解 存 在 的 风险 ,并 做 出 决策 ,提供 资源 、 增 加 投入 ,使 风险 降 至 可 
接受 的 程度 。 

为 了 合理 分 配 资源 进行 风险 控制 ,组 织 在 明确 可 能 的 控制 措施 并 评估 其 可 行 性 和 有 
效 性 后 ,应 做 一 次 投入 /效益 分 析 , 以 确定 哪个 控制 措施 更 适合 自己 的 组 织 。 投 入 /效益 分 
析 着 重 分 析 采 取 这 些 控制 措施 会 有 什么 作用 ,不 采取 这 些 控制 措施 又 会 有 什么 后 果 。 

1. 文档 化 要 求 

除了 确定 适当 的 控制 措施 ,风险 评估 还 应 记录 管理 中 应 做 的 工作 。 记 录 风 险 评估 过 
程 的 相关 文件 应 符合 以 下 基本 要 求 ( 但 不 限于 这 些 要 求 ): 确保 文件 发 布 前 已 得 到 批准 ; 
确保 文件 的 更 改 和 现行 状态 是 可 识别 的 ;确保 文件 可 获得 有 关 版 本 的 适用 文件 ;确保 文件 
的 分 发 得 到 适当 的 控制 ;防止 作废 文件 的 非 预 期 使 用 ,车 因 某 种 目的 须 保留 已 作废 的 文 
件 , 则 应 对 这 些 文件 进行 适当 标识 。 

另外 ,对 风险 评估 过 程 中 形成 的 相关 文件 ,还 应 规定 其 标识 、 存 储 、 保 护 、 检 索 , 保 存 期 
限 、 处 置 控制 等 内 容 。 需 要 哪些 相关 文件 及 其 详 略 程度 由 管理 过 程 决定 。 

2. 文档 类 别 

风险 评估 文件 包括 在 整个 风险 评估 过 程 中 产生 的 评估 过 程 文档 和 评估 结果 文档 , 包 
括 但 不 限于 以 下 基本 文档 : 风险 评估 计划 ,阐述 风险 评估 的 目标 .范围 .团队 、 方 法 、 结 
果 形 式 ,实施 进度 、 注 意 事项 等 ; @ 风 险 评估 程序 ,明确 评估 的 目的 ` 职 责 . 过 程 . 所 需 文 件 
及 其 要 求 等 ; 加 资产 识别 清单 ,根据 组 织 在 风险 评估 程序 文件 中 确定 的 资产 分 类 方法 对 
资产 进行 识别 ,形成 资产 识别 清单 ,清单 中 应 明确 各 资产 的 责任 者 ; 四 重要 资产 清单 , 根 
据 资 产 识别 和 赋值 结果 ,形成 重要 资产 列表 ,包括 重要 资产 的 名 称 、 描 述 、 类 型 重要 程度 、 
责任 者 等 ; @ 威 胁 列表 ,根据 威胁 识别 和 赋值 结果 ,形成 威胁 列表 ,包括 威胁 的 名 称 、 类 
型 .来 源 、 动 机 、 出 现 频率 等 ; @ 脆 弱 性 列表 ,根据 脆弱 性 识别 和 赋值 结果 ,形成 脆弱 性 列 
表 , 包 括 脆弱 性 的 名 称 、 类 型 .严重 程度 、 描 述 等 ; DO 已 有 安全 措施 确认 表 , 根 据 已 有 安全 
措施 的 确认 结果 ,形成 已 有 安全 措施 确认 表 , 包 括 已 有 安全 措施 的 名 称 、 类 型 .功能 描述 、 
实施 效果 等 ; @ 风 险 评估 报告 ,对 整个 风险 评估 过 程 和 结果 进行 总 结 ,详细 说 明 评估 对 
象 . 评 估 方 法 ,资产 识别 结果 ,威胁 识别 结果 、 脆 弱 性 识别 结果 .风险 分 析 ` 风 险 统计 、 评 估 
结论 ,建议 等 内 容 ; 加 风险 处 理 计划 ,对 评估 结果 中 不 可 接受 的 风险 制定 风险 处 理 计 划 ， 
选择 适当 的 控制 目标 和 安全 措施 ,明确 责任 .进度 ,资源 ,并 通过 对 残余 风险 的 评价 确保 所 
选 安全 措施 的 有 效 性 ; 四 风险 评估 记录 ,根据 组 织 的 风险 评估 程序 文件 ,记录 对 重要 资产 
实施 的 风险 评估 过 程 。 
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5.5 风险 评估 方法 


5.5.1 正确 选择 风险 评估 方法 


正确 的 风险 识别 是 风险 评估 的 基本 条 件 , 风 险 评估 是 风险 识别 的 必然 发 展 。 评 估 的 
最 终 目 的 为 了 实施 正确 的 管理 和 控制 。 

风险 评估 以 风险 主体 .风险 因素 为 研究 对 象 。 在 信息 安全 领域 中 就 是 以 信息 系统 、 信 
息 资 产 的 脆弱 性 和 可 能 面临 的 威胁 作为 研究 对 象 ,说 明 每 种 风险 因素 产生 ,发展 和 消亡 的 
规律 ,评估 每 种 风险 因素 所 致 的 风险 事件 对 风险 主体 (信息 资产 ) 可 能 造成 的 损害 概率 与 
损害 程度 。 

在 信息 安全 风险 评估 阶段 ,风险 分 析 人 员 需 要 说 明 威胁 和 脆弱 性 产生 的 条 件 、 发 展 的 
轨迹 、 安 全 事件 发 生 的 概率 以 及 安全 事件 对 信息 资产 可 能 造成 的 危害 ,目的 在 了 解 风险 因 
素 产 生 ` 发 展 和 消亡 规律 以 及 风险 可 能 发 生 的 时 间 、` 地 点 、 概 率 和 方式 基础 上 ,有 针对 性 
地 有的放矢 地 制定 风险 管理 和 控制 措施 ,以 确保 信息 系统 、 信 息 资产 的 安全 。 

在 风险 评估 和 评估 方法 选择 上 应 考虑 到 以 下 几 点 : @ 评 估 结 果 只 是 一 个 参考 值 , 不 
可 能 是 一 个 绝对 正确 的 数学 答案 ,不 可 能 与 未 来 的 实际 情况 完全 一 致 ; 四 风险 评估 结果 
是 动态 变化 的 ; 加 风险 评估 方法 通常 是 根据 风险 动态 变化 的 一 般 规律 或 数理 统计 定理 而 
设计 的 ,在 风险 评估 过 程 中 应 避免 以 简单 的 逻辑 推理 替代 辩证 的 迎 辑 思维 ; @ 风 险 评 全 
方法 具有 和 多样 性 ,评估 方法 的 选用 取决 于 评估 的 意图 、 对 象 和 条 件 ,风险 分 析 人 员 应 根据 
具体 情况 做 出 选择 ,风险 评估 过 程 中 可 以 多 种 评估 方法 综合 运用 。 


5.5.2 定性 风险 评估 和 定量 风险 评估 


风险 评估 可 分 为 定性 风险 评估 和 定量 风险 评估 。 

1) 定性 风险 评估 

一 般 采 用 描述 性 语言 来 描述 风险 评估 结果 ,如 “有 可 能 发 生 ”“ 极 有 可 能 发 生 ”“ 很 少 发 
生 ” 等 。 当 可 用 的 数据 较 少 ,不 足以 进行 定量 评估 时 可 采用 定性 风险 评估 方法 ;或 者 根据 
经 验 或 推理 ,主观 认为 风险 不 大 ,没有 必要 采用 定量 评估 方法 时 ,可 采用 定性 风险 评估 方 
法 ;或 者 将 定性 风险 评估 作为 定量 风险 评估 的 预备 评估 。 定 性 评估 的 优点 是 所 需 的 时 间 、 
费用 和 人 力 资源 较 少 ,缺点 是 评估 不 够 精确 。 

2) 定量 风险 评估 

定量 风险 评估 是 一 种 比较 精确 的 风险 评估 方法 ,通常 以 数学 形式 进行 表达 。 当 资料 
比较 充分 或 者 风险 对 信息 资产 的 危害 可 能 很 大 , 确 有 必要 时 可 采用 定量 风险 评估 方法 。 
进行 定量 风险 评估 的 成 本 一 般 比较 高 。 


5.5.3 ”结构 风险 因素 和 过 程 风 险 因素 


运用 风险 评估 方法 进行 风险 评估 可 分 为 风险 分 析 和 风险 综合 两 个 主要 步骤 。 风 险 分 
析 依 据 一 定 的 规则 和 方法 对 各 风险 因素 进行 细 分 ,将 之 分 为 有 关 结 构 的 风险 因素 和 有 关 
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过 程 的 风险 因素 ,然后 针对 每 种 细 分 后 的 风险 因素 做 出 定性 或 定量 评估 ,并 推测 风险 事件 
发 生 的 可 能 性 及 信息 资产 可 能 遭受 的 损失 ,得 到 每 种 细 分 后 风险 因素 的 风险 状况 ,最 后 对 
每 种 风险 因素 或 风险 事件 可 能 导致 的 损失 进行 综合 评判 ,得 到 总 的 风险 大 小 。 

(1) 结构 风险 因素 : 指 的 是 不 同性 质 的 风险 因素 ,属于 一 种 静态 风险 因素 ,之 间 相 互 
独立 ,是 一 种 并 列 关系 。 

(2) 过 程 风险 因素 : 指 的 是 同一 风险 因素 的 不 同 阶段 表现 ,属于 一 种 动态 风险 因素 ， 
之 间 相 互 依赖 ` 相 互 作用 ,是 一 种 因果 关系 。 

图 5-4 是 对 风险 因素 所 做 的 结构 化 描述 , 列 出 了 个 相互 并 列 的 风险 因素 。 为 了 便 
于 对 风险 因素 进行 研究 和 分 析 , 在 对 风险 因素 进行 划分 时 应 尽 可 能 使 各 风险 因素 间 相 互 
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图 5-4 风险 评估 因素 


在 进行 风险 评估 时 ,可 以 首先 依据 一 个 风险 因素 的 发 生 时 间 发生 地点、 发 生 条 件 和 
发 生 方式 等 属性 来 评估 风险 状况 ,而 后 进行 综合 评估 。 这 是 对 风险 的 一 种 静态 描述 。 一 
方面 ,事物 总 是 发 展 和 变化 的 ,每 个 事物 都 有 一 个 发 展 变化 的 过 程 ,风险 也 是 如 此 ,风险 的 
形成 需要 具备 风险 的 存在 条 件 , 需 要 具备 风险 客体 与 风险 主体 的 联系 条 件 , 风 险 的 变化 需 
要 具备 风险 的 转化 条 件 。 这 是 对 风险 的 一 种 动态 描述 。 


5.5.4 通用 风险 评估 方法 


风险 评估 方法 的 使 用 并 不 具有 局 限 性 ,在 不 同 领 域 中 风险 评估 方法 可 以 相互 引用 和 
借鉴 ,以 下 是 在 不 同 领域 中 总 结 出 的 几 种 常用 评估 方法 。 

1. 层次 分 析 法 

层次 分 析 (Analysis of Hierarchy Process, AHP) 法 是 将 与 决策 有 关 的 元 素 首先 分 解 
成 目标 、 准 则 方案 等 层次 ,而 后 在 此 基础 上 进行 定性 和 定量 分 析 的 决策 方法 。AHP 法 于 
20 世纪 70 年 代 由 美国 匹 茨 堡 大 学 运筹 学 专家 萨 蒂 教授 提出 ,并 首先 在 美国 国防 部 的 科 
研 项 目 中 得 到 应 用 , 它 是 在 网 络 系统 理论 和 多 目标 综合 评价 方法 基础 上 提出 的 一 种 层次 
权重 决策 分 析 方法 。AHP 法 在 对 复杂 决策 问题 本 质 、 影 响 因素 及 其 内 在 关系 等 进行 深入 
分 析 的 基础 上 ,利用 较 少 的 定量 信息 使 决策 思维 过 程 数学 化 ,从 而 为 多 目标 、 多 准则 、 无 结 
构 特 性 、 变 量 不 易 定量 化 的 复杂 决策 问题 提供 了 一 种 简便 的 决策 方法 ,尤其 是 为 决策 结果 
难以 直接 准确 度量 的 场合 提供 了 一 种 可 有 效 将 问题 条 理化 、 层 次 化 的 思维 模式 。AHP 法 
的 整个 过 程 体现 了 人 的 决策 思维 的 基本 特征 , 即 分 解 . 判 断 与 综合 ,易学 易 用 ,上 且 定 性 、 定 
量 相 结 合 , 便 于 决策 者 间 彼 此 沟通 ,是 一 种 比较 有 效 的 系统 分 析 方 法 ,在 信息 安全 风险 分 
析 与 评估 等 众多 领域 得 到 了 广泛 应 用 。 
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2. 因果 分 析 


因果 分 析 (Cause Consequence Analysis,CCA) 技 术 由 丹麦 RISO 实验 室 开 发 ,最 初 
用 于 核电 站 的 风险 分 析 , 后 来 被 推广 应 用 于 信息 安全 风险 评估 等 众多 领域 ,用 于 评估 和 保 
护 系统 的 安全 性 。CCA 是 一 种 故障 树 分 析 和 事件 树 分 析 相 结合 的 方法 ,结合 了 原因 分 析 
(由 故障 树 描述 ) 和 结果 分 析 ( 由 事件 树 描述 ) 的 特点 ,因此 演绎 分 析 和 归纳 分 析 都 用 上 了 。 
CCA 的 目的 是 识别 导致 不 希望 发 生 结果 的 各 事件 间 的 连接 。 通 过 在 CCA 图 表 中 表示 出 
各 种 事件 的 发 生 可 能 性 ,计算 出 各 种 后 果 的 概率 ,从 而 建立 系统 的 风险 等 级 ,并 视 不 同 的 
风险 等 级 采取 不 同 的 安全 措施 ,保证 系统 的 安全 。 

3. 风险 和 矩阵 

风险 矩阵 于 20 世纪 90 年 代 中 由 美国 空军 电子 系统 中 心 提出 ,随后 在 美军 武器 装备 
系统 研制 项 目的 风险 管理 和 风险 控制 中 得 到 广泛 应 用 。 风 险 和 矩阵 是 在 项 目 管理 过 程 中 
于 识别 风险 影响 程度 (重要 性 ) 的 一 种 结构 性 方法 ,能够 对 项 目 中 的 潜在 风险 进行 评估 , 它 
操作 简便 , 且 定 性 分 析 与 定量 分 析 相 结合 。 根 据 风险 分 析 与 评估 需求 ,风险 矩阵 可 以 包括 
各 种 不 同 栏目 ,如 技术 栏 `. 风险 栏 .威胁 栏 . 影 响 栏 .风险 等 级 栏 和 风险 管理 栏 等 。 每 一 栏 
目 描述 其 要 素 对 应 的 具体 内 容 和 数据 。 明 确 了 原始 风险 矩阵 的 各 项 组 成 后 ,下 一 步 工 作 
就 是 将 相应 的 数据 输入 风险 矩阵 各 项 中 。 经 过 风险 识别 过 程 后 ,识别 出 的 潜在 风险 数量 
可 能 会 很 多 ,但 这 些 潜在 的 风险 对 项 目的 影响 程度 各 不 相同 。 风 险 分 析 即 通过 分 析 、 比 
较 、 评 估 等 ,确定 各 风险 的 重要 性 ,对 风险 进行 排序 并 评估 其 可 能 造成 的 后 果 , 从 而 使 项 目 
实施 人 员 能 够 将 主要 精力 集中 于 为 数 不 多 的 主要 、 关 键 风 险 上 ,以 有 效 控 制 项 目 总 的 风 
险 。 经 过 风险 识别 和 分 析 后 ,下 一 步 就 可 以 进行 风险 的 定量 分 析 。 风 险 定量 分 析 的 目的 
是 确定 每 个 风险 对 项 目的 影响 大 小 ,可 以 从 风险 影响 程度 和 风险 出 现 概 率 两 个 角度 进行 
量化 和 分 析 。 

4. 管理 漏洞 风险 树 

管理 漏洞 风险 树 (Management Oversight Risk Tree, MORT) 于 20 世纪 70 年 代 由 美 
国 能 源 研究 与 发 展 委 员 会 提出 , 它 能 够 与 复杂 的 ,面向 目标 的 管理 系统 相 协调 。MORT 
是 一 种 图 表 , 它 将 安全 要 素 以 一 种 有 序 的 .符合 逻 辑 的 方式 进行 排列 。 其 分 析 过 程 利用 故 
障 树 的 方法 来 进行 ,最 上 层 的 事件 是 “破坏 ,损失 、 其 他 费用 ,企业 信誉 下 降 ” 等 。MORT 
主要 从 管理 漏洞 角度 给 出 了 有 关 项 层 事 件 发 生 原 因 的 总 的 看 法 ,以 便 从 上 层 管理 角度 对 
风险 进行 分 析 与 评估 ,并 从 上 层 管理 角度 对 风险 管理 与 控制 提出 对 策 。 

5. 安全 管理 组 织 回 顾 技术 

安全 管理 组 织 回顾 技术 (Safety Management Organization Review Technique， 
SMORT) 是 对 管理 漏洞 风险 树 (MORT) 的 简单 修改 。SMORT 通过 对 相关 清单 的 分 析 
来 构建 模型 ,而 MORT 则 基于 完全 的 树 结构 。 不 过 从 SMORT 的 结构 分 析 过 程 来 看 ,还 
是 认为 SMORT 是 一 种 基于 树 的 方法 。SMORT 分 析 包 括 基 于 清单 和 相关 问题 的 数据 收 
集 和 结果 赋值 。 这 些 信息 能 够 通过 面试 .调研 、 对 文件 的 研究 等 来 收集 。 通 过 SMORT 
能 够 完成 对 意外 事件 的 详细 调查 ,并 可 用 于 安全 审计 和 安全 度量 计划 的 制定 。 

6. 动态 事件 树 分 析 方 法 

动态 事件 树 分 析 方 法 (Dynamic Event Tree Analysis Method.DETAM) 是 一 种 基于 
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时 间 变 化 要 素 的 解决 方法 ,时 间 变 化 要 素 包 括 设 备 硬件 状态 、 过 程 变量 值 以 及 事件 发 生 过 
程 中 的 操作 状态 等 。 一 个 动态 事件 树 是 一 个 分 支 于 不 同时 间 点 上 的 事件 树 。DETAM 
方法 通过 五 个 特征 集 来 定义 : 分 支 集 ,用 于 确定 事件 树 节点 可 能 的 分 支 空 间 ; 四 定义 
系统 状态 的 变量 集 ; @@ 分 支 规则 ,用 于 确定 什么 时 候 发 生 分 支 ; 田 序列 扩张 规则 ,用 于 限 
制 序列 的 数量 ; @ 量 化 工具 。DETAM 方法 用 于 表示 操作 行为 的 多 样 化 ,用 于 建立 操作 
行为 的 结果 模型 ,并 可 用 于 分 析 使 用 因果 模型 的 框架 。DETAM 方法 还 可 用 于 分 析 与 评 
估 紧 急 的 安全 事件 及 其 过 程 变化 ,以 判断 在 哪里 进行 改变 、 怎 样 进行 改变 能 达到 比较 好 的 
7. 初步 风险 分 析 
初步 风险 分 析 (Preliminary Risk Analysis,PRA) 是 一 种 定性 分 析 技 术 , 用 于 对 事件 
序列 的 定性 分 析 , 识 别 出 哪 些 事件 缺乏 安全 措施 ,这 些 事 件 有 可 能 使 潜在 的 危害 转化 成 实 
际 的 事故 。 通 过 PRA 技术 ,潜在 的 .可 能 发 生 的 不 希望 事件 将 逐一 被 识别 出 来 ,然后 对 
其 分 别 进行 分 析 与 评估 。 对 每 个 不 希望 发 生 的 事件 或 危害 ,其 可 能 的 改进 或 预防 措施 将 
被 明确 地 表达 出 来 。 利 用 PRA 方法 产生 的 分 析 结 果 , 将 为 确定 需要 对 哪些 危害 做 进 一 
步调 查 以 及 用 哪 种 方法 做 进一步 分 析 提 供 决策 基础 。 根 据 风 险 识别 和 风险 分 析 结果 对 风 
险 进 行 分 级 ,并 对 可 能 的 风险 控制 措施 进行 优先 排序 。 

8. 危害 和 可 操作 性 研究 

危害 和 可 操作 性 研究 (HaZard And OPerability study,HZAOP) 技 术 于 20 世纪 70 
年 代 由 英国 皇家 化 学 工业 有 限 公 司 提出 。HZAOP 通过 对 新 的 或 已 有 的 设施 进行 系统 化 
鉴定 ,检查 来 评估 潜在 的 危害 ,这 些 危 害 源 自 设计 偏差 ,并 将 最 终 影响 到 整个 设施 。 
HZAOP 技术 常用 一 系列 引导 词 来 描述 ,如 “是 / 否 (yes/no)”” 大 于 /小 于 (more than/less 
than)””“ 以 及 (as well as)”“ 相 反 的 部 分 (part of reverse)” 等 。 利 用 这 些 引 导 词 来 帮助 识 
别 导 致 危害 或 潜在 问题 的 情景 。 例 如 ,在 考虑 一 条 生产 线 的 流速 及 其 安全 问题 时 ,可 用 引 
导 词 “ 大 于 ”对 应 高 流速 “小 于 ?对 应 低 流 速 。 而 后 根据 危害 识别 结果 进行 分 析 与 评估 ,并 
提出 减少 危害 发 生 频 率 的 安全 控制 措施 。 

9. 故障 模式 和 影响 分 析 

故障 模式 和 影响 分 析 / 故 障 模式 、 影 响 和 危害 性 分 析 (Fault Mode and Effect 
Analysis/Fault Mode Effect and Criticality Analysis, FMEA/FMECA) 方 法 于 20 世纪 50 
年 代 由 美国 可 靠 性 工程 研究 所 提出 ,用 于 确定 因 军 事 系统 故障 而 产生 的 问题 。FMEA 是 
一 个 过 程 ,通过 该 过 程 对 系统 中 每 个 潜在 的 故障 模式 进行 分 析 , 以 确定 它 对 系统 的 影响 ， 
并 根据 其 严重 性 进行 分 类 。 当 FMEA 依据 危害 程度 分 析 进 行 扩展 时 ,FMEA 将 称 为 
FMECA。FMEA/FMECA 在 军事 系统 和 航空 工业 的 故障 与 可 靠 性 分 析 以 及 安全 与 风险 
评估 中 得 到 了 广泛 应 用 。 

10. GO 方法 

GO 方法 (GO Method) 于 20 世纪 70 年 代 由 Kaman 科学 公司 提出 ,并 首先 在 美国 国 
防 部 的 电力 系统 可 靠 性 和 安全 性 分 析 得 到 应 用 ,是 一 种 面向 成 功 逻 辑 的 系统 分 析 方 法 。 
GO 方法 通过 工程 图 来 构建 GO 模型 ,在 模型 构建 中 它 使 用 了 17 个 算 子 , 它 用 一 个 或 多 
个 GO 算 子 来 代替 系统 中 的 元 素 。 有 三 种 基本 类 型 的 GO 算 子 : 独立 算 子 用 于 无 输入 部 
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分 的 建 模 ; ) 依 靠 算 子 至 少 需要 一 个 输入 ,这 样 才能 有 一 个 输出 ;逻辑 算 子 将 算 子 结合 到 一 
起 ,以 便 形成 目标 系统 的 成 功 逻 辑 。 基 于 独立 算 子 和 依靠 算 子 的 概率 数据 ,可 以 计算 出 成 
功 操作 的 概率 。 在 实际 应 用 中 , 当 目 标 系统 的 边界 条 件 已 通过 适当 的 方法 得 到 很 好 定义 
时 ,可 使 用 GO 方法 对 系统 的 风险 和 安全 性 进行 分 析 与 评估 。 

11. 有 向 图 /故障 图 

有 向 图 /故障 图 (Digraph/Fault Graph) 方 法 使 用 图 论 中 有 关 的 数学 方法 和 语言 来 对 
系统 的 风险 和 安全 性 进行 分 析 , 如 路 径 集 和 可 达 性 (任意 两 个 节点 间 所 有 可 能 的 路 径 的 全 
集 )。 该 方法 与 GO 方法 有 些 相似 ,但 它 使 用 的 是 “与 /或 门 "AND/OR)。 源 自 系统 邻接 
矩阵 的 连通 矩阵 将 显示 一 个 故障 节点 是 否 会 导致 顶层 事件 的 发 生 , 然 后 对 这 些 矩 阵 进行 
分 析 , 以 得 出 系统 的 单 态 (造成 系统 故障 的 单个 因素 ) 或 双 态 (造成 系统 故障 的 两 个 因素 )。 
该 方法 允许 形成 循环 .反馈 ,使 之 在 对 动态 系统 进行 风险 分 析 与 评估 时 具有 较 大 的 吸 
引力 。 

12. 动态 事件 逻辑 分 析 方法 

动态 事件 逻辑 分 析 方 法 (Dynamic Event Logic Analytical Methodology, DELAM) 提 
供 了 一 个 完整 框架 ,用 于 对 时 间 过程 变 量 和 系统 的 精确 处 理 。DELAM 方法 通常 包括 以 
下 步 又 : 系统 组 成 部 分 建 模 ; @ 系 统 力 程 求解 算法 : 设置 最 高 条 件 ; @ 时 间 序 列 产生 
与 分 析 。DELAM 方法 在 描述 动态 事件 方面 非常 有 用 ,并 可 用 它 来 对 系统 的 可 靠 性 、 安 全 
性 进行 评估 ,可 用 它 来 对 系统 的 行为 活动 进行 识别 。 在 对 某 个 特定 问题 进行 分 析 时 , 需 
要 建立 系统 的 DELAM 模拟 器 ,并 为 之 提供 各 种 输入 数据 ,如 在 特定 状态 和 条 件 下 系统 
组 成 部 分 的 发 生 概率 、 概 率 的 独立 性 不同 状态 间 的 转换 率 、 状 态 与 过 程 变 量 的 条 件 概 率 

上 面 对 几 种 常见 的 风险 分 析 与 评估 方法 和 技术 进行 了 介绍 。 通 过 比较 可 以 看 到 , 它 
们 各 有 优 缺 点 ,适用 于 不 同 的 条 件 和 场合 。 在 实际 的 信息 安全 风险 评估 工作 中 ,应 灵活 、 
综合 运用 这 些 技 术 和 方法 ,以 取得 最 佳 的 评估 结果 。 


5.6 几 种 典型 的 信息 安全 风险 评估 方法 


下 面 对 几 种 比较 典型 的 信息 安全 风险 评估 方法 进行 详细 的 论述 。 
5.6.1 OCTAVE 法 


1. 基本 原则 

OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, 可 操 
作 的 关键 威胁 资产 和 弱点 评估 ) 法 是 信息 安全 风险 评估 方法 的 典型 代表 ,定义 了 一 种 综 
合 的 .系统 的 .与 具体 环境 相关 的 和 自主 的 信息 安全 风险 评估 方法 。OCTAVE 信息 安全 
风险 评估 方法 的 基本 原则 是 : 自主 ` 适 应 度量 执行 已 定义 的 过 程 .连续 过 程 的 基础 。 它 
由 一 系列 循序 渐进 的 讨论 会 组 成 。OCTAVE 法 的 核心 是 自主 原则 , 指 的 是 由 组 织 内 部 
的 人 员 来 管理 和 指导 组 织 的 信息 安全 风险 评估 工作 。OCTAVE 法 主要 针对 的 是 大 型 组 
织 ,中 小 型 组 织 也 可 对 其 进行 适当 裁减 ,以 满足 自身 需要 。 
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2. 主要 因素 

OCTAVE 法 认为 信息 安全 风险 涉及 四 个 方面 的 主要 因素 : 资产 、 威 胁 、 弱 点 、 影 响 。 
OCTAVE 法 是 一 种 资产 驱动 的 评估 方法 , 它 根据 组 织 资产 所 处 的 环境 条 件 来 构造 组 织 
的 风险 框架 。 同 时 ,资产 也 是 组 织 的 业务 目标 ,以 及 进行 评估 时 需要 收集 的 .与 安全 相关 
的 信息 之 间 的 联系 手段 。OCTAVE 法 所 评估 的 对 象 是 那些 被 判定 为 对 组 织 最 关键 的 资 
产 。OCTAVE 法 也 是 基于 威胁 树 的 风险 评估 方法 , 它 将 资产 .威胁 类 型 .威胁 所 涉及 的 
区 域 .威胁 发 生 的 结果 ,结果 产生 的 影响 以 及 影响 程度 联系 在 一 起 ,以 确定 缓解 风险 的 计 
划 。 在 这 个 过 程 中 需要 建立 一 系列 表格 ,将 各 部 分 的 内 容 对 应 起 来 。 其 中 威胁 源 可 分 为 
以 下 类 型 : 人 为 故意 行为 .人 为 意外 行为 ,系统 问题 ,其 他 问题 等 ,其 他 问题 又 可 以 包括 断 
电 、 缺 水 .长途 通信 不 可 用 自然 灾害 等 。 根 据 这 些 内 容 建立 威胁 配置 文件 。 

3. 输出 结果 

OCTAVE 法 的 评估 结果 包括 三 种 类 型 的 输出 数据 : 组 织 数据 .技术 数据 ` 风 险 分 析 
与 缓解 数据 。 

4. 评估 层次 

OCTAVE 法 将 风险 评估 分 为 两 个 层次 : 管理 层 和 技术 层 。 这 可 以 从 其 三 个 执行 阶 
段 看 出 。 

1) 阶段 一 : 建立 基于 资产 的 威胁 配置 文件 。 

从 组 织 角度 进行 评估 。 组 织 的 全 体 职员 曾 述 其 看 法 与 观点 ,如 什么 对 组 织 重要 (与 信 
息 安全 有 关 的 资产 ) ,当前 应 采取 什么 措施 来 保护 这 些 资 产 等 。 负 责 分 析 的 团队 对 这 些 信 
息 进行 整理 ,以 确定 对 组 织 最 重要 的 资产 (关键 资产 ) ,并 标识 对 这 些 资产 构成 影响 的 威 
胁 。 该 阶段 包括 以 下 四 个 主要 过 程 : 四 标识 高 层 管理 部 门 的 知识 ; 四 标识 业务 区 域 管理 
部 门 的 知识 ; 图 标识 员工 的 知识 .建立 威 胁 配置 文件 ,包括 整理 过 程 四 一 过 程 四 中 所 收集 
的 信息 ,选择 关键 资产 ,提炼 关键 资产 的 安全 需求 .标识 对 关键 资产 构成 影响 的 威胁 等 
工作 。 通 用 的 配置 文件 是 基于 关键 资产 的 威胁 树 。 威 胁 源 包括 : 使 用 网 络 方式 的 人 、 
使 用 物理 方式 的 人 、 系 统 问 题 ` 其 他 问题 等 。 配 置 文件 通过 以 下 属性 来 对 威胁 进行 形 
式 化 的 标识 : 资产 .访问 方式 .主角 (违反 安全 属性 的 人 或 物 ) 动机 、 结 果 , 如 图 5-5 和 
图 5-6 所 示 。 

2) 阶段 二 : 标识 基础 结构 的 弱点 。 

对 基础 结构 进行 评估 。 分 析 团 队 标识 出 与 每 种 关键 资产 相关 的 关键 信息 技术 系统 和 
组 件 ,而 后 对 这 些 关键 组 件 进行 分 析 , 找 出 导致 对 关键 资产 执行 未 授权 行为 的 弱点 (技术 
弱点 )。 该 阶段 包括 两 个 主要 过 程 : 识别 关键 组 件 , 包 括 识别 出 组 件 的 关键 类 型 .标识 
出 要 分 析 的 基础 结构 组 件 等 ; @ 评 估 所 选 定 的 组 件 , 包 括 对 选 定 的 基础 结构 组 件 运 行 弱 
点 评估 工具 、 评 审 技术 弱点 、 总 结 评估 结果 等 。 

3) 阶段 三 : 开发 安全 策略 和 计划 。 

分 析 团 队 标识 出 组 织 中 关键 资产 的 风险 ,并 确定 须 采 取 的 措施 。 依 据 对 收集 信息 的 
分 析 结 果 ,为 组 织 制定 保护 策略 和 环节 计划 ,以 解决 关键 资产 的 风险 。 

该 阶段 包括 两 个 主要 过 程 : 四 执行 风险 分 析 , 包 括 标 识 关 键 资产 的 威胁 影响 .制定 风 
险 评估 标准 .评估 关键 资产 的 威胁 影响 等 ; @ 开 发 保护 策略 。 
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资产 访问 ”主角 动机 ”结果 资产 主角 结果 
[ 王 绢 i 
意外 的 | 损失 /破坏 软件 故障 | 损失 /破坏 
组 织 内 部 一 中 断 -一 中断 
一 一 泄密 世 密 
修改 恶意 代码 [一 一 修改 
故意 的 | 一 损失 /破坏 时 损失 /破坏 
网 络 访问 一 中 断 一 中 断 
关键 |( 物 理 访问 ) 
资产 | | 
一 一 _ 油 窗 一 汇 密 
一 修改 一 一 修改 
意外 的 | 损失 /破坏 系统 朋 商 | 损失 /破坏 
一 一 中 断 一 一 中 断 
组 织 外 部 六 一 汇 密 六 一 泄密 
修改 一 修改 
故意 的 | 一 损失 /破坏 | 更 件 故障 | 损失 /破坏 
-一 中 断 -一 中 断 


图 5-5 使 用 物理 方式 访问 的 威胁 树 


图 5-6 基于 资产 的 威胁 树 


本 质 上 ,OCTAVE 法 是 非 线性 的 和 和 迭代 的 。 根 据 该 方法 的 基本 要 求 和 原则 ,组 织 在 
风险 评估 之 前 或 之 中 要 建立 通用 的 威胁 配置 文件 和 弱点 目录 。 从 威胁 配置 文件 中 可 以 看 
到 ,风险 是 由 资产 遭 到 破坏 后 的 影响 和 影响 值 决定 的 。 威 胁 通过 访问 .主角 \ 动 机 、 违 反 资 
产 的 安全 需求 所 产生 的 直接 结果 4 个 方面 来 表示 。 在 分 析 威 胁 对 资产 造成 的 结果 时 ,会 


考虑 到 威胁 所 利用 的 漏洞 。 
威胁 配置 文件 如 图 5-7 所 示 。 


资产 访问 主角 动机 结果 影响 描述 影响 值 风险 缓解 计划 



































[一 比 
意外 的 一 损失 /破坏 
组 织 内 部 一 中 断 
本 
故意 的 | 损失 /破坏 
网 络 访问 一 中 断 
关键 |( 物 理 访问 ) 
资产 
[一 比 
一 中断 
织 外 冰 一 一 泄密 
组 织 外 部 ES 
故意 的 | 损失 /破坏 
-一 中 断 





图 5-7 威胁 配置 文件 
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5.6.2 层次 分 析 法 (AHP 法 ) 


1. 基本 思路 

AHP 法 是 美国 运筹 学 家 萨 蒂 教授 提出 的 一 种 简便 、 灵 活 而 又 实用 的 多 准则 决策 方 
法 ,于 20 世纪 80 年 代 初 传人 我 国 。 由 于 AHP 法 在 许多 目标 决策 问题 方面 具有 优势 , 目 
前 已 在 许多 领域 得 到 广泛 应 用 。 作 为 一 种 定性 分 析 与 定量 分 析 相 结合 的 决策 法 ,AHP 法 
的 基本 原理 是 : 首先 将 决策 的 问题 看 作 受 多 种 因素 影响 的 大 系统 ,这 些 相互 关联 、 相 互 制 
约 的 因素 可 以 按照 它们 之 间 的 隶属 关系 排 成 从 高 到 低 的 若干 层次 ,再 利用 数学 方法 ,对 各 
因素 层 排序 ,最 后 对 排序 结果 进行 分 析 , 辅 助 进行 决策 。 

AHP 法 主要 用 于 多 目标 决策 ,信息 安全 风险 评估 具有 多 目标 决策 的 特点 ,因此 可 以 
引用 AHP 法 进行 信息 安全 风险 评估 。 

2. 多 目标 决策 的 主要 特点 

多 目标 决策 是 指 包 含 两 个 或 两 个 以 上 目标 的 决策 。 在 实际 决策 工作 中 ,多 目标 决策 
非常 普遍 ,其 主要 特点 如 下 所 述 。 

(1) 目标 之 间 的 不 可 公 度 性 : 各 个 目标 之 间 设 有 一 个 统一 的 衡量 标准 (如 经 济 目标 
与 社会 目标 之 间 ) ,因此 很 难 直接 进行 比较 。 由 于 决策 对 象 的 多 个 价值 目标 之 间 往 往 具有 
不 同 的 经 济 意义 ,或 者 表示 不 同意 义 的 因素 之 间 量 纲 可 能 彼此 不 同 ,如 对 发 电站 的 电能 用 
“千瓦 "来 计量 ,而 对 澄 没 的 农田 用 “ 亩 ”来 计量 ;此 外 ,不 同 目标 相互 之 间 还 可 能 存在 冲突 ， 
即 有 的 是 以 最 大 为 最 优 , 有 的 则 是 以 最 小 为 最 优 。 此 外 ,还 有 一 些 目标 可 能 根本 无 法 度 
量 , 如 服装 的 款式 .建筑 物 的 设计 风格 等 。 

(2) 目标 之 间 的 矛盾 性 : 如 果 采 用 某 一 措施 改善 其 中 一 个 目标 ,可 能 会 造成 对 其 他 
目标 的 损害 ,如 建设 与 环境 保护 两 个 目标 之 间 就 存在 一 定 的 矛盾 性 ,经 济 的 发 展 往往 会 造 
成 环境 的 破坏 ,建筑 物质 量 的 提高 往往 带 来 工程 建设 成 本 的 增加 。 因 此 ,要 同时 满足 所 有 
的 目标 往往 很 难 或 者 干脆 就 是 不 可 能 的 ,因此 多 数 情况 下 只 能 求 取 满意 解 ,或 追求 主要 目 
标的 最 优 ,而 其 他 目标 只 能 追求 次 优 , 或 干脆 予以 放弃 。 

(3) 决策 人 的 偏好 将 影响 决策 的 结果 : 决策 人 对 风险 的 态度 或 对 某 目标 的 偏好 不 
同 ,会 极 大 影响 决策 的 结果 ,如 同样 是 日 常 消费 ,中 年 人 的 消费 偏重 质量 ,而 青年 人 的 消费 
可 能 更 偏重 款式 。 

3. 多 目标 决策 的 基本 要 素 

多 目标 决策 包括 目标 或 目标 集 、 属 性 和 决策 单元 等 基本 要 素 。 

(1) 目标 或 目标 集 : 人 们 想 要 达到 的 目的 。 对 一 个 决策 问题 而 言 ,目标 可 以 看 作 决 
策 者 愿望 和 需要 的 直接 反映 。 目 标 可 以 是 多 层次 的 ,一 个 决策 问题 的 所 有 目标 的 集合 构 
成 其 目标 集 。 

(2) 属性 : 是 用 来 表示 目标 达到 的 程序 和 评价 指标 ,是 一 个 反映 目标 特征 的 量 。 一 
个 属性 的 要 求 是 要 易于 测量 和 理解 .属性 取决 于 决策 问题 本 身 。 

(3) 决策 单元 : 是 决策 过 程 中 决策 者 .分 析 人 员 、 计 算 机 等 的 结合 ,以 共同 完成 收集 
资料 ` 处 理 信息 .进行 决策 等 活动 。 
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4. 多 目标 决策 的 目标 体系 
多 目标 决策 的 目标 体系 包括 以 下 三 种 常用 类 型 。 


(1) 单 层 目标 体系 。 各 个 子 目标 同属 于 一 个 总 目标 ,各 个 子 目标 之 间 是 一 种 并 列 关 
系 , 如 图 5-8 所 示 。 








总 目标 

















子 目标 1 子 目标 2 | - | 子 目标 ” 














图 5-8 单 层 目标 体系 


(2) 树 形 多 层 目标 体系 。 目 标 分 为 多 个 层次 ,每 个 下 层 目标 均 隶 属于 一 个 且 仅 隶 属 
于 一 个 上 层 目 标 ,下 层 目标 是 上 层 目标 更 加 有 具体 的 说 明 , 如 图 5-9 所 示 。 





总 目标 

















一 级 子 目 标 子 目标 1 - 子 目 标 n 


pa 


二 级 子 目标 子 目标 1 子 目标 1w 子 目标 m 加 子 目标 mw 












































图 5-9 树 形 多 层 目标 体系 


(3) 网 状 多 层次 目标 体系 。 目 标 分 为 多 个 层次 ,每 个 下 层 目 标 隶 属于 某 几 个 上 层 目 
标 ,如 图 5-10 所 示 。 





总 目标 














一 级 子 目标 子 目标 1 本 子 目标 n 

















一 级 子 目标 子 目标 ~ 子 目标 1， 子 目标 nm ~ 子 目标 mm 























图 5-10 网 状 多 层次 目标 体系 


5. AHP 法 主要 步骤 

AHP 法 是 处 理 有 限 个 方案 的 多 目标 决策 问题 时 最 常用 和 最 重要 的 方法 之 一 ,其 基本 
思想 是 将 复杂 的 问题 分 解 为 若干 个 层次 : 即 把 决策 问题 按 总 目标 . 子 目标 ` 评 价 标准 甚至 
具体 措施 的 顺序 分 解 为 不 同 层次 的 结构 ,然后 在 较 低层 次 上 通过 两 两 比较 得 出 各 因素 对 
上 一 层次 的 权重 , 逐 层 进行 ,最 后 利用 加 权 求 和 的 方法 进行 综合 排序 , 求 出 各 方案 对 总 目 
标的 权重 ,权重 最 大 者 认为 是 最 优 方案 。 在 运用 层次 分 析 法 解决 实际 问题 时 ,主要 包括 以 
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下 步骤 。 

(1) 分 析 系 统 各 因素 间 关 系 , 建 立 递 阶层 次 结构 模型 。 建 立 递 阶层 次 结构 模型 的 目 
的 是 在 深入 分 析 实 际 问题 的 基础 上 ,建立 基于 系统 基本 特征 的 评估 指标 体系 , 它 的 基本 层 
次 有 目标 层 ,准则 层 和 措施 层 ,如 图 5-11 所 示 。 其 中 ,目标 层 是 指 问题 的 最 终 目标 ;准则 
层 是 指 影 响 目 标 实 现 的 准则 ;措施 层 是 指 促 使 目标 实现 的 措施 。 同 一 层 的 诸 因 素 从 属于 
上 一 层 的 因素 或 对 上 层 因素 有 影响 ,同时 又 支配 下 一 层 的 因素 或 受到 下 层 因素 的 作用 。 


准则 层 准则 1 准则 2 | - | 准则 n 


措施 层 措施 1 措施 2 措施 = 措施 


图 5-11 层次 结构 模型 






































(2) 构造 各 层次 的 判断 和 矩阵。 判断 矩阵 的 作用 是 在 上 一 层 某 一 元 素 的 约束 条 件 下 ， 
对 同 层次 的 元 素 之 间 的 相对 重要 性 进行 比较 。 萨 蒂 引 入 9 分 位 的 相对 重要 的 比例 标 度 ， 
构成 一 个 判断 矩阵 ,重要 性 标 度 值 如 表 5-8 所 示 。 
表 5-8 1 一 9 标 度 的 含义 





含义 
元 素 i 与 元 素 j 相 比 , 同 样 重要 元 素 i 与 元 素 j 相 比 ,极端 重要 
元 素 i 与 元 素 ) 相 比 ,稍微 重要 ,4.6、 上 述 相 邻 判断 的 中 间 值 
元 素 i 与 元 素 j 相 比 ,明显 重要 i 比 j 得 a, 则 j 比 i 得 1/a 








元 素 i 与 元 素 j 相 比 ,强烈 重要 


dau adi a 

Q21 Q22 Q2n 
A= 

Qnm dn dnn 


这 样 ,层次 结构 模型 可 以 通过 成 对 比较 给 出 各 层 元 素 之 间 的 判断 矩阵。 

(3) 层次 单 排序 及 一 致 性 检验 。 判 断 和 矩阵 4 对 应 于 最 大 特征 值 *w 的 特征 向 量 w, 经 
归 一 化 后 即 为 同一 层次 相应 因素 对 应 于 上 一 层次 某 因素 相对 重要 性 的 排序 权 值 ,这 一 过 
程 称 为 层次 单 排序 。 构 造 判断 矩阵 的 办 法 虽然 较 客观 地 反映 出 一 对 因子 影响 力 的 差别 ， 
但 综合 全 部 比较 结果 时 ,其 中 难免 包含 一 定 程度 的 非 一 致 性 , 故 还 要 对 判断 矩阵 进行 一 致 

@ 最 大 特征 值 具体 计算 方法 如 下 。 

a. 将 判断 矩阵 的 每 一 列 元 素 作 归 一 化 处 理 , 其 元 素 的 一 般 项 为 


& = a (i,j = 1,2,°,n) 
k=1 
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b. 对 各 列 归 一 化 后 判断 矩阵 按 行 相 加 。 
配 一 Fa, Cy = Li 


c, 相 加 后 后 得 向 量 再 归 一 化 处 理 , 所 得 的 结果 即 为 所 求 特征 向 量 : 





w= w/w Cj=1,2,,n) (5-1) 
d. 通过 判断 矩阵 A 和 特征 向 量 w 计算 判断 矩阵 的 最 大 特征 值 Mes: 
Re A 9 (5-2) 
式 中 (Aw); 代表 向 量 Aw 的 第 i 个 元 素 。 
@ 进行 一 致 性 检验 。 
a. 一 致 性 指标 
CL = (us 一 四 /一 1 (5-3) 
其 中 ,n 为 判断 和 矩阵 的 阶 数 。 
b. 一 致 性 比例 
CR = CL/RI (5-4) 


其 中 ,RI 为 随机 一 致 性 指标 。 对 于 1 一 9 阶 和 矩阵 , RI 见 表 5-9。 
表 5-9 随机 一 致 性 指标 








若 CR 一 0. 1, 则 认为 判断 矩阵 有 满意 的 一 致 性 ,否则 对 判断 矩阵 进行 调整 。 

(4) 层次 总 排序 及 一 致 性 检验 。 层 次 总 排序 是 指 每 一 个 判断 矩阵 各 因素 针对 目标 层 
的 相对 权重 , 即 计算 最 下 层 对 目标 层 的 组 合 权 向 量 。 

设 上 一 层 (A 层 ) 包 含 m 个 因素 ,它们 的 层次 总 排序 权重 分 别 为 a1,as，…,am; 又 设 其 
下 一 层 包 含 2 个 因素 ,它们 关于 A; 的 层次 单 排序 权重 分 别 为 1.05,…,bw( 当 Bi 与 A; 
无 关联 时 ,6; 二 0), 则 B 层 中 各 因素 关于 总 目标 的 权重 计算 按 式 (5-5) 进 行 , 即 


b= Dbyay (i= 1,.,n) (5-5) 


最 后 再 做 组 合 一 致 性 检验 ,车 检验 通过 , 则 可 按照 组 合 权 重 向 量 表示 的 结果 进行 决 
策 ,否则 需要 重新 考虑 模型 或 重新 构造 那些 一 致 性 比率 大 于 0. 1 的 成 对 比较 阵 。 

6. 实例 分 析 

下 面 根据 图 5-12 所 示 的 风险 分 析 模 型 对 其 中 的 威胁 识别 应 用 AHP 法 进行 分 析 。 

(1) 建立 威胁 风险 分 析 的 递 阶层 次 结构 模型 。 在 参考 了 GB/T18336 一 200、GA/ 
T390 一 2002 等 标准 后 ,把 造成 威胁 T 的 因素 分 为 环境 因素 T1 和 人 为 因素 T2。 根 据 威 
胁 的 表现 形式 ,环境 因素 细 分 为 场地 T11、 软 件 T12、 硬 件 T13, 其 中 场地 包括 周边 环境 、 
配套 设施 、 供 配 电 等 因素 ;软件 包括 系统 软件 ,数据库 和 应 用 软件 等 因素 ;硬件 包括 主机 、 
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威胁 出 现 的 
威胁 识别 频率 站 | 安全 事件 发 生 
小 可 能 性 Re 
i 风险 值 
由 到 


~ 安全 人 的 
山大 
资产 的 重要 性 2 


图 5-12 风险 分 析 模 型 












































2 








资产 识别 








记录 介质 、 外 设 、 网 络 设备 等 因素 ,同时 把 人 为 因素 T2 细 分 为 无 意 T21 和 恶意 
无 意 可 以 包括 管理 混乱 、 无 作为 .操作 失误 等 因素 ;恶意 可 以 包括 病毒 .越权 滥用 、 黑 客 攻 
击 、 物 理 攻 击 等 因素 ,威胁 风险 分 析 层 次 结构 见 图 5-13。 


























威胁 T 





























环境 Tl 人 为 T2 









































场地 T11 软件 T12 硬件 T13 无 意 T21 
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(2) 构造 各 层次 的 判断 矩阵 。 对 各 层次 因素 进行 两 两 比较 后 建立 的 各 层 判 断 矩 阵 见 
表 5-10 一 表 5-12。 


表 5-10 T 层 判断 矩阵 










Tl T2 





Tl 1.000 1.500 





0.667 1.000 


表 5-11 TI 层 判 断 矩 阵 










TI1 





TI1 1.000 





3. 000 1. 500 





T12 0.333 1. 000 0. 500 








0.667 


表 5-12 T2 层 判 断 矩 阵 











T2 T21 T22 
T21 1.000 1.500 
T22 0.667 1.000 
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(3) 层次 单 排序 及 一 致 性 检验 。 由 判断 矩阵 ,利用 式 (5-1) 求 出 各 层次 因素 的 权 林 





十 





再 利用 式 (5-2) 一 式 (5-4) 对 矩阵 单 层 次 的 一 致 性 进行 检验 , 见 表 5-13 一 表 5-15。 
表 5-13 T 层 权重 














Tl T2 权重 












Tl 1.000 1. 500 0. 600 









=0.1 





0.667 1.000 0.400 





其 中 ,os 一 2,CI 王 0,CR 王 0,CR 一 0. 1 满足 一 致 性 要 求 。 


表 5-14 Tl 层 排序 


其 中 ,Xmx 三 3.008,CI 二 0.004,CR==0.0069,CR<=0. 1 满足 一 致 性 要 求 。 





表 5-15 TT2 层 排 序 


T21 1. 000 1.500 0. 600 





T22 0. 667 1.000 0. 400 





其 中 ,ss 一 2,CI 天 0,CR 王 0,CR<0. 1 满足 一 致 性 要 求 。 
(4) 层次 总 排序 及 一 致 性 检验 。 由 式 (5-5) 求 出 各 因素 的 总 权重 并 排序 ( 表 5-16) 。 


表 5-16 各 因素 总 排序 




















T Tl T2 权重 | 总 排序 
TI1 0. 500 0.300 | 1 
T12 0.167 0. 100 | 
T13 0.333 0.200 | 3 
Tal 0.600 0.240 | 2 
T22 0.400 0.160 4 














i 息 安 全 威胁 影响 较 大 的 因素 是 机 房 场 地 、 无 意 过 


通过 上 述 分 析 和 计算 表明 .对 于 
失 。 因 此 ,在 安全 建设 方面 应 该 加 强 对 机 房 供 配 电 、 配 套 设施 、 周 边 环境 、 机 房 防 护 的 建 
设 , 同 时 还 要 加 强 对 于 信息 安全 的 管理 ,例如 制定 相关 的 制度 来 避免 信息 安全 管理 的 
混乱 。 
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5.6.3 威胁 分 级 法 


该 方法 通过 直接 考虑 威胁 、 威 胁 对 资产 产生 的 影响 以 及 威胁 发 生 的 可 能 性 来 确定 风 
险 。 使 用 该 方法 时 ,首先 需要 确定 威胁 对 资产 的 影响 ,可 以 用 等 级 来 表示 。 识 别 威 胁 的 过 
程 可 以 通过 两 种 方式 来 完成 : 一 是 准备 一 个 威胁 列表 ,让 用 户 去 选择 确定 相应 的 资产 威 
胁 ;二 是 由 分 析 团 队 人 员 来 确定 相关 的 资产 威胁 ,而 后 进行 分 析 与 归 类 。 

识别 ,确定 威胁 后 , 接 下 来 需要 评价 威胁 发 生 的 可 能 性 ;在 确定 威胁 的 影响 值 和 威胁 
发 生 的 可 能 性 后 ,计算 风险 值 。 风 险 值 的 计算 方法 可 以 是 影响 值 与 可 能 性 之 积 , 也 可 以 是 
之 和 ,具体 算法 由 用 户 确定 ,只 要 满足 是 增 函 数 即 可 。 

例如 ,可 以 将 威胁 的 影响 值 分 为 5 个 等 级 ,威胁 发 生 的 可 能 性 也 分 为 5 个 等 级 ,风险 
值 的 计算 采用 以 上 影响 值 威 胁 值 的 积 ,具体 计算 如 表 5-17 所 示 。 经 过 计算 ,风险 可 分 为 
15 个 等 级 。 在 具体 评估 中 ,可 以 根据 该 方法 来 明确 表示 “资产 一 威胁 一 风险 ”之 间 的 对 应 


表 5-17 威胁 分 级 法 


资产 


某 个 
资产 











5.6.4 风险 综合 评价 


在 该 方法 中 ,风险 的 大 小 由 威胁 产生 的 可 能 性 威胁 对 资产 的 影响 程度 以 及 已 采用 的 
控制 措施 三 个 方面 来 确定 , 即 对 控制 措施 的 采用 做 了 单独 考虑 。 

在 该 方法 中 ,做 好 对 威胁 类 型 的 识别 是 很 重要 的 。 通 常 首先 需要 建立 一 个 威胁 列表 。 
该 方法 从 资产 识别 开始 ,接着 识别 威胁 以 及 威胁 产生 的 可 能 性 ,然后 对 威胁 造成 的 影响 进 
行 分 析 。 

此 处 对 威胁 的 影响 进行 了 分 类 考虑 ,例如 ,对 人 员 的 影响 、 对 财产 的 影响 、 对 业务 的 影 
响 等 。 这 些 影响 是 在 假定 不 存在 控制 措施 情况 下 的 影响 ,并 将 上 述 各 值 相 加 后 填 入 表 中 。 
例如 ,可 以 将 威胁 的 可 能 性 分 为 5 级 : 1~5, 威 胁 的 影响 也 分 为 5 级 : 1 一 5。 在 威胁 的 可 
能 性 和 威胁 的 影响 确定 后 , 即 可 计算 总 的 影响 值 。 在 具体 评估 中 ,可 以 由 用 户 根据 具体 情 
况 来 确定 计算 方法 。 

最 后 分 析 是 否 采用 了 能 够 减 小 威胁 的 控制 措施 ,包括 从 内 部 建立 的 和 从 外 部 保障 的 
控制 措施 ,并 确定 其 有 效 性 ,对 其 进行 赋值 。 例 如 ,在 表 5-18 中 ,将 控制 措施 的 有 效 性 从 
小 到 大 分 为 了 5 个 等 级 : 1 一 5。 在 此 基础 上 根据 公式 求 出 总 值 , 即 为 风险 值 。 
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表 5-18 风险 评估 表 


已 采用 的 控制 措施 























5.7 风险 评估 实施 


5.7.1 风险 评估 实施 原则 


1. 目标 一 致 

信息 安全 的 目的 是 为 了 使 组 织 更 有 效 地 完成 其 业务 目标 。 在 整个 风险 评估 过 程 当 
中 ,强调 客户 的 安全 需求 分 析 ,并 将 此 作为 信息 安全 风险 评估 的 基准 点 ,强调 用 户 的 个 性 ， 
和 用 户 的 目标 保持 一 致 。 

2. 关注 重点 资产 

资产 是 与 信息 相关 的 资产 。 信 息 安 全 风险 评估 方法 是 基于 信息 资产 的 ,因为 资产 是 
所 有 后 继 评估 活动 的 核心 。 组 织 的 资产 可 能 有 很 多 ,它们 的 重要 性 是 不 一 样 的 ,在 风险 评 
估 过 程 中 ,我们 关注 那些 对 实现 组 织 的 目标 产生 较 大 影响 .至 关 重 要 的 关键 资产 。 由 于 用 
于 风险 评估 的 资源 有 限 ,我 们 选择 关键 资产 进行 评估 ,以 使 得 评估 成 为 一 种 成 本 有 效 的 
评估 。 

3. 用 户 参与 

在 整个 安全 评估 服务 过 程 中 ,特别 强调 用 户 的 参与 ,不 管 是 从 最 开始 的 调查 阶段 ,还 
是 到 分 析 阶 段 ,都 十 分 注重 用 户 的 参与 。 用 户 参 与 的 形式 多 样 , 可 能 是 调查 问卷 .访谈 和 
讨论 会 等 形式 。 每 个 阶段 之 后 都 设 有 评审 过 程 ,以 保证 能 根据 用 户 的 实际 情况 ,提供 更 好 
的 服务 。 

4. 重视 质量 管理 和 过 程 

在 整个 风险 评估 项 目 过 程 中 ,特别 重视 质量 管理 。 为 确保 咨询 单位 咨询 项 目 实施 的 
质量 ,项 目 将 设置 专门 的 质量 监理 以 确保 项 目 实施 的 质量 。 项 目 监理 将 依照 相应 各 阶段 
的 实施 标准 ,通过 记录 审核 ,流程 监理 .组 织 评审 、. 异 常 报告 等 方式 对 项 目的 进度 .质量 进 
行 控制 。 
5.7.2 ”风险 评估 流程 

信息 系统 风险 评估 是 对 当前 系统 的 安全 现状 进行 评价 。 进 行 风险 评估 除了 可 以 明确 
系统 现实 情况 与 安全 目标 的 差距 外 .更 重要 的 是 为 降低 系统 风险 制定 安全 策略 提供 指导 。 


风险 评估 是 整个 信息 安全 风险 管理 的 基础 ,一 次 次 完整 的 风险 评估 过 程 之 后 是 组 织 根据 
已 制定 的 策略 进行 实施 ,再 根据 实施 情况 对 系统 进行 新 的 风险 评估 ,进行 不 断 的 循环 ,以 
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实现 组 织 的 整体 安全 目标 。 
风险 评估 实施 共 分 为 四 个 阶段 ,如 图 5-14 所 示 。 





选择 降低 风险 策略 

选择 接受 风险 策略 

选择 转移 风险 策略 
安全 规划 














策略 选择 人 
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图 5-14 风险 评估 实施 


(1) 前 期 准备 阶段 。 本 阶段 是 对 风险 评估 实施 之 前 的 准备 过 程 ,并 不 涉及 具体 的 实 
施工 作 , 但 是 需要 准备 实施 所 需 的 必要 条 件 及 相关 信息 资料 。 包 括 对 风险 评估 进行 规划 、 
确定 团队 组 成 ,明确 风险 评估 范围 ,准备 调查 资料 。 

(2) 现场 调查 阶段 。 本 阶段 风险 评估 项 目 实施 人 员 对 被 评估 信息 系统 的 详细 信息 进 
行 调查 ,收集 ,进行 风险 分 析 数 据 信 息 ,包括 信息 系统 资产 组 成 、 系 统 资产 脆弱 点 ,组 织 管 
理 脆弱 点 ,威胁 因素 ,安全 需求 等 。 

(3) 风险 分 析 阶 段 。 本 阶段 根据 现场 调查 阶段 获得 的 系统 相关 数据 ,选择 适当 的 风 
险 分 析 方 法 ,对 目标 信息 系统 的 风险 状况 进行 综合 分 析 , 得 出 系统 当前 所 面临 风险 的 
排序 。 

(4) 策略 制定 阶段 。 本 阶段 根据 风险 分 析 结 果 , 结 合 目标 信息 系统 的 安全 需求 ,制定 
相应 的 安全 策略 ,包括 安全 管理 策略 .安全 运行 策略 和 安全 体系 规划 。 


5.7.3 评估 方案 定制 


在 实践 过 程 中 ,要 对 评估 方案 进行 定制 以 符合 组 织 特定 的 业务 环境 。 对 于 不 同 特点 
的 组 织 , 所 采取 的 评估 方法 也 存在 差异 性 。 鉴 于 风险 评估 是 与 实际 环境 高 度 相 关 的 活动 ， 
实际 上 存在 对 所 有 组 织 都 适用 的 评估 方案 。 

如 表 5-19 所 示 为 不 同 组 织 进 行 风险 评估 活动 的 异同 点 。 

在 对 组 织 的 风险 评估 方案 进行 定制 之 前 ,需要 明确 哪些 评估 活动 可 以 被 定制 ,而 哪些 
流程 是 不 能 修改 的 。 
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表 5-19 不 同 组 织 进行 风险 评估 的 异同 点 
评估 活动 相 同 点 
关键 资产 确定 ”| 资产 调查 表 


不 同 点 
不 同行 业 、 规 模 的 组 织 , 其 关键 资产 存在 很 大 差异 


规模 较 大 的 组 织 所 面临 的 威胁 要 比 小 规模 组 织 更 广泛 ,小 
组 织 甚至 不 需要 进行 威胁 调查 ,可 以 根据 通用 威胁 目录 进 
行 选择 








威胁 因素 调查 | 威胁 分 析 方法 





使 用 扫描 工具 使 用 
脆弱 性 调查 渗透 测试 工具 .人 工 
检查 


策略 选择 风险 分 析 结论 


对 于 大 型 组 织 , 其 可 利用 的 各 项 维护 记录 可 作为 脆弱 性 调 
查 的 辅助 资料 ,小 型 组 织 主 要 以 技术 工具 作为 脆弱 性 调查 
的 实施 手段 


针对 组 织 的 特点 进行 解决 方案 、 管 理 制度 、 安 全 策略 选择 











简单 而 言 ,评估 方案 中 的 流程 都 应 遵循 准备 、 调 查 、 分 析 和 策略 选择 四 个 阶段 ,所 不 同 
的 是 ,在 每 个 阶段 所 采用 的 方法 和 活动 可 以 根据 组 织 情况 进行 相应 的 剪裁 以 制定 出 符合 
实际 的 评估 方案 ,保证 顺利 完成 风险 评估 活动 ,实现 风险 评估 目标 。 

下 面 就 评估 过 程 所 涉及 的 活动 领域 分 别 进行 曾 述 。 

1. 评估 团队 建立 

在 风险 评估 过 程 中 ,人 是 各 项 活动 的 执行 者 ,如 何 选 择 适合 的 人 员 组 建 项 目 评估 团队 
是 风险 评估 的 成 败 关键 。 

如 果 组 织 的 地 理 位 置 相 对 集中 、 规 模 较 小 , 则 评估 的 主要 活动 是 集中 进行 调查 、 分 析 ， 
需要 组 建 相对 独立 的 评估 团队 ,团队 成 员 为 专职 评估 人 员 ; 而 在 对 大 型 组 织 进行 评估 时 ， 
由 于 组 织 部 门 众多 且 相 对 分 散 ,其 调查 活动 主要 依赖 部 门 员工 完成 ,评估 团队 主要 起 推动 
评估 活动 的 作用 。 

在 对 大 型 组 织 进行 风险 评估 之 前 ,需要 对 评估 团队 成 员 进 行 风险 评估 相关 知识 的 正 
式 培 训 , 以 适应 接 下 来 的 评估 活动 。 培 训 内 容 包括 风险 评估 方法 .组织 业务 ,沟通 技巧 安 
全 评估 工具 使 用 等 。 对 于 小 型 组 织 而 言 ,评估 团队 成 员 可 以 不 经 过 专门 的 培训 过 程 ,而 是 
在 实际 工作 中 逐步 熟悉 评估 过 程 。 

2. 调查 顺序 选择 

风险 评估 现场 调查 阶段 的 人 员 访 谈 方式 可 以 采用 自 上 而 下 和 自 下 而 上 两 种 顺序 。 通 
常 ,进行 调查 时 首先 与 组 织 高 层 管理 人 员 进 行 沟通 ,包括 调查 范围 .调查 时 间 等 需要 进行 
确认 ,同时 要 获取 管理 者 对 组 织 信息 安全 的 目标 ,策略 等 信息 。 明 确 了 组 织 的 安全 目标 后 
再 逐 级 完成 对 相关 人 员 的 调查 。 

在 组 织 结构 清晰 、 人 员 职 能 明确 的 组 织 中 先 对 一 般 员工 进行 访谈 ,将 访谈 结果 整理 、 
分 析 后 再 与 高 层 管理 者 进行 交流 ,提供 给 他 们 整理 结果 ,并 请 组 织 高 层 管理 者 给 出 解决 意 
见 ,这 样 所 掌握 的 资料 更 接近 组 织 的 实际 情况 。 

不 论 采 用 哪 种 调查 顺序 ,评估 团队 获得 组 织 高 层 管理 者 的 支持 是 评估 得 以 顺利 进行 
的 必要 保证 。 

3. 评估 范围 确定 

确定 评估 范围 是 风险 评估 前 期 准备 阶段 的 成 果 之 一 , 它 决定 了 后 续 的 调查 活动 所 涉 
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及 的 领域 。 评 估 范 围 的 确定 直接 影响 最 终 评估 结论 的 准确 性 ,为 了 有 效 反映 整个 组 织 信 
息 系统 的 风险 ,风险 评估 的 范围 应 包括 所 有 的 组 织 功能 。 

对 信息 系统 规模 较 小 、 结 构 较 简单 的 组 织 进行 风险 评估 时 ,评估 范围 可 以 包括 所 有 系 
统 资产 、 组 织 管理 职能 。 大 型 组 织 的 业务 功能 复杂 ,要 求 其 信息 系统 提供 的 服务 也 是 多 样 
化 的 。 对 全 部 信息 资产 进行 评估 不 但 耗费 大 量 的 人 力 ,而且 周 期 长 ,缺乏 时 效 性 。 应 该 将 
评估 范围 确定 在 核心 系统 ,对 于 分 支 机 构 或 子 系统 则 选取 具有 代表 性 的 部 分 进行 评估 。 
例如 ,选择 通过 远程 访问 的 分 支 机 构 以 评估 网 络 访问 安全 。 对 于 相同 类 型 机 构 或 系统 进 
行 抽样 评估 ,在 选择 样本 时 应 保证 样本 数量 为 奇数 ,以 便 在 整理 资料 时 对 结论 做 出 判断 。 

同样 ,在 风险 分 析 后 的 策略 选择 过 程 中 也 要 考虑 评估 范围 ,应 根据 组 织 的 安全 目标 决 
定安 全 策略 的 选择 范围 。 不 论 是 调查 阶段 还 是 策略 选择 阶段 的 范围 确定 ,都 需要 由 评估 
团队 提出 ,并 且 获 得 管理 层 批准 后 才 可 以 进行 下 一 步 活动 。 

4. 评估 周期 控制 

对 不 同 组 织 信息 系统 进行 风险 评估 ,评估 周期 存在 很 大 的 差别 。 评 估 周 期 主要 取决 
于 所 要 评估 的 系统 规模 、 复 杂 度 ,评估 范围 以 及 评估 过 程 中 的 人 员 配 合 情 况 。 在 制定 评估 
计划 时 应 尽 可 能 考虑 所 有 可 能 对 评估 进程 造成 影响 的 因素 。 同 时 , 须 注意 的 是 ,风险 评估 
是 对 信息 系统 的 现状 进行 风险 评价 ,如 果 评 估 周 期 过 长 ,在 完成 评估 之 前 系统 已 经 发 生变 
化 ,那么 评估 结论 就 失去 意义 了 。 通 常 应 该 将 评估 周期 控制 在 半年 之 内 ,如 果 发 现 评估 过 
程 可 能 超过 预先 制定 的 计划 ,那么 应 该 考虑 修正 评估 对 象 . 评 估 方 法 。 

5. 沟通 方式 选择 

过 程 中 各 阶段 的 活动 都 需要 组 织 人 员 参 与 配合 ,对 于 风险 评估 判断 所 涉及 的 有 关系 
统 重 要 性 ,综合 性 影响 ,威胁 因素 等 评判 要 素 , 都 是 与 组 织 密切 相关 的 ,而 进行 各 项 活动 都 
需要 组 织 协调 与 确认 。 因 此 ,与 组 织 及 时 进行 沟通 、 交 流 是 风险 评估 最 终结 果 顺 利 达 成 的 
保证 措施 。 另 外 ,在 评估 过 程 中 ,评估 团队 成 员 间 也 需要 进行 信息 交流 ,对 问题 的 不 同意 
见 进行 讨论 并 达成 一 致 ,及 时 通报 活动 进展 情况 等 。 

沟通 形式 可 以 根据 沟通 的 目的 选择 诸如 沟通 会 议 . 讨 论 会 .E-mail、 电 话 等 方式 。 沟 
通 会 议 的 规模 和 数量 没有 固定 的 要 求 ,可 以 是 二 三 个 人 ,也 可 以 是 评估 团队 和 组 织 各 方 人 
员 参 与 。 相 比 于 只 有 两 个 部 门 的 小 型 组 织 , 大 型 组 织 需 要 更 多 数量 的 沟通 会 议 。 讨 论 会 
主要 用 于 评估 团队 内 部 的 沟通 ,形式 相对 正式 的 沟通 会 议 显得 更 为 随意 。 而 Email 和 电 
话 则 在 人 员 不 方便 面对面 交流 的 情况 下 经 常 采用 的 沟通 形式 。 

不 管 采取 何 种 方式 进行 沟通 ,重要 的 是 沟通 的 结果 ,而 不 是 形式 和 数量 。 

6. 评估 工具 选择 

在 风险 评估 过 程 中 使 用 评估 工具 可 以 提高 工作 效率 和 准确 率 , 但 是 选择 评估 工具 ,万 
其 是 各 种 测试 工具 时 需要 持 谨 慎 的 态度 。 测 试 工 具 主 要 包括 系统 漏洞 扫描 工具 渗透 性 
测试 工具 等 。 由 于 这 些 工具 的 工作 原理 是 模拟 入 侵 者 对 系统 进行 攻击 的 方式 对 信息 系统 
进行 人 侵 尝试 ,虽然 其 攻击 性 较 实际 和 人 侵 行为 有 所 控制 ,但 是 不 可 避免 会 对 系统 性 能 造成 
一 定 的 影响 。 对 于 那些 需要 保持 信息 系统 连续 运行 的 组 织 ,由 于 使 用 测试 工具 所 带 来 的 
负面 作用 会 对 组 织 业务 构成 潜在 的 威胁 ,应 避免 使 用 此 类 工具 ,而 采取 人 工 检查 配置 等 方 
式 进 行 蔡 代 。 如 果 一 定 要 进行 测试 ,必须 要 对 测试 所 带 来 的 后 果 进 行 论证 ,在 获得 组 织 确 
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认 后 进行 实施 活动 。 

7. 工作 表 剪 裁 

工作 表 是 进行 调查 分 析 过 程 的 辅助 文档 工具 ,对 于 不 同 的 系统 ,所 采用 的 工作 表 也 应 
进行 相应 的 调整 。 在 实际 操作 过 程 中 ,根据 组 织 的 具体 情况 对 调查 方式 .过 程 以 及 所 使 
的 表格 进行 必要 的 裁减 。 例 如 有 的 组 织 没有 独立 的 信息 技术 部 门 ,或 者 甚至 没有 信息 技 
术 人 员 ,针对 这 样 的 组 织 进行 安全 策略 调查 的 时 候 , 采 用 调查 问卷 的 方式 未 必 合适 ,应 依 
靠 双方 沟通 的 方式 获取 信息 。 而 大 型 组 织 一 般 有 相对 完善 的 信息 技术 部 门 , 很 多 信息 可 
以 直接 从 中 获取 ,无 须 再 对 专门 的 人 员 进行 技术 访谈 。 


5.7.4 项 目 质量 控制 


1. 目标 

质量 保障 的 目标 是 确保 风险 评估 实施 方 按照 既定 计划 顺利 地 实施 项 目 。 鉴 于 风险 评 
估 项 目 具 有 一 定 的 复杂 性 和 主观 性 ,只 有 对 风险 评估 项 目 进行 完善 的 质量 控制 和 严格 的 
流程 管理 ,才能 保证 风险 评估 项 目的 最 终 质 量 。 风 险 评估 项 目的 质量 保障 主要 体现 在 实 
施 流 程 的 透明 性 以 及 对 整体 项 目的 可 控 性 ,质量 保障 活动 需要 在 项 目 运行 中 提供 足够 的 
可 见 性 ,确保 项 目 实施 按照 规定 的 标准 流程 进行 。 

2. 监理 机 构 

在 项 目 小 组 的 设置 中 ,项 目 监理 人 (小 组 ) 将 保持 中 立 性 ,直接 向 项 目的 最 高 业务 负责 
人 汇报 工作 ,不 受 项 目 管理 人 员 的 管理 ,如 图 5-15 所 示 为 项 目 小 组 设置 图 。 































































































项 目 领 导 小 组 
项 目 监理 人 
项 目 经 理 (小 组 ) 
| 
阶段 负责 人 春 段 负 责 人 
项 目 成 员 项 目 成 员 











图 5-15 项 目 小 组 设置 图 


(1) 监理 对 象 。 监 理 对 象 是 实施 风险 评估 的 项 目 小 组 。 

(2) 监理 人 员 的 构成 。 项 目 监理 可 以 由 双方 共同 委派 人 员 组 成 或 由 第 三 方 人 员 
出 任 。 

(3) 监理 人 员 的 职责 。 根 据 被 监理 的 项 目 合同 进度 计划 要 求 ,在 项 目的 每 个 关键 阶 
段 完 成 后 ,听取 阶段 工作 报告 和 技术 报告 审查 文档 资料 ,检查 任务 完成 情况 ,并 将 审查 的 
情况 向 项 目 领 导 小 组 进行 汇报 ,在 项 目 进行 的 过 程 中 发 现 项 目的 异常 情况 (如 项 目 延 期 、 
擅自 修改 评估 流程 等 ) 应 及 时 上 报 。 

(4) 监理 人 员 的 权利 。 监 理 人 员 有 权利 对 项 目的 文档 进行 审核 。 

3. 质量 保障 活动 

项 目 监理 将 依照 相应 各 阶段 的 实施 标准 ,通过 记录 审核 ,流程 监理 ,组 织 评审 .异常 报 
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告 等 方式 对 项 目的 进度 、 质 量 进行 控制 。 

为 了 使 项 目 质 量 控 制 活动 能 够 规范 有 效 地 运作 ,必须 应 用 各 类 质量 控制 表格 使 质量 
控制 流程 标准 化 ,为 质量 控制 活动 提供 工具 保障 。 

(1) 记录 和 审核。 项 目 实 施 中 产生 的 各 项 调查 表 、 分 析 过 程 表 格 必须 有 纸 页 文档 ,文档 
由 各 阶段 的 负责 人 签名 与 审核 ,项 目 监理 将 定期 检查 相应 的 记录 确认 各 项 记录 的 完整 性 。 

(2) 流程 监理 。 项 目 监理 将 依照 实施 规定 的 各 流程 标准 对 项 目 进行 审核 ,审核 包括 
流程 是 否 得 到 正确 实施 ,结果 是 否 符合 规定 的 标准 。 审 核 要 求实 施 方 能 够 提供 证 据 证 明 
流程 已 经 得 到 正确 的 执行 。 在 进行 每 一 个 关键 任务 之 前 ,根据 流程 标准 对 工作 的 输入 与 
输出 进行 审核 ,确保 项 目 按照 规定 的 流程 进行 。 

(3) 阶段 评审 。 在 项 目 实施 的 重要 阶段 ,项目 监理 将 组 织 项 目的 阶段 评审 工作 ,由 用 
户 、 实 施 方 、 项 目 监理 方 共同 对 项 目 进展 进行 讨论 。 评 审 会 前 ,项 目 监理 应 当做 好 项 目的 
审核 工作 汇总 。 评 审 会 中 ,项 目 监理 如 实 将 项 目 审核 的 结果 向 项 目 最 高 领导 汇报 ,由 用 户 
与 实施 方 共同 对 项 目的 进展 进行 评审 与 总 结 ,对 出 现 的 偏差 提出 整改 意见 ,并 对 下 一 阶段 
的 工作 做 出 规划 。 

(4) 异常 处 理 。 当 项 目 监理 发 现 异常 状况 出 现 后 (未 按 流程 进行 工作 、 超 过 期 限 ), 首 
先 与 项 目 中 层 管理 人 员 进 行 沟通 ,要 求 对 项 目 进行 整改 ,做 出 相应 的 补救 措施 ,并 进行 记 
录 ; 如 果 异 常情 况 可 能 影响 项 目的 进展 , 则 应 当 立 刻 向 项 目 最 高 领导 人 进行 汇报 ,或 要 求 
召开 项 目 临时 会 议 , 由 用 户 与 实施 方 共同 对 项 目 计划 进行 调整 。 


本 章 小 结 
本 章 介绍 了 信息 安全 风险 评估 的 基础 知识 。 首 先 介绍 了 风险 评估 的 概念 、 特 点 和 内 


涵 , 然 后 分 析 了 风险 评估 基本 步骤 及 其 各 步骤 的 主要 任务 ;在 通用 评估 方法 的 基础 上 , 重 
点 对 典型 的 信息 安全 风险 评估 方法 进行 分 析 , 最 后 对 风险 评估 实施 的 相关 内 容 进行 讨论 。 

















习 题 


. 简要 分 析 信 息 安全 风险 评估 的 特点 。 

. 信息 安全 风险 评估 包括 哪 几 个 操作 步骤 ? 

. 在 选择 风险 评估 方法 时 应 考虑 哪些 内 容 ? 

. 试 比较 定性 风险 评估 和 定量 风险 评估 优 缺 点 。 
. OCTAVE 法 原则 是 什么 ”核心 是 什么 ? 

. 简 述 层次 分 析 法 的 主要 步骤 。 

. 风险 评估 实施 的 原则 有 哪些 ? 


Do 
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学 习 目 标 

。 掌握 信息 安全 策略 的 基本 概念 及 制定 原则 ; 

。 掌握 信息 安全 策略 的 规划 与 实施 方法 ; 

。 了 解 环境 安全 策略 、 系 统 安 全 策略 、 病 毒 防护 策略 及 安全 教育 策略 。 

在 计算 机 技术 飞速 发 展 的 今天 ,由 于 硬件 技术 、 软 件 技术 、 网 络 技术 和 分 布 式 计算 技 
术 的 推动 ,增加 了 计算 机 系统 访问 控制 的 难度 ,使 控制 硬件 使 用 为 主要 手段 的 中 心 式 安全 
控制 的 效果 大 大 降低 ,信息 安全 问题 变 得 越 来 越 突出 , 受 重视 程度 也 日 渐 增 加 ,而 信息 安 
全 策略 是 组 织 解决 信息 安全 问题 最 重要 的 步骤 ,是 解决 信息 安全 问题 的 重要 基础 。 


6.1 信息 安全 策略 概述 


安全 策略 是 一 种 处 理 安全 问题 的 管理 策略 的 描述 ,策略 要 能 对 某 个 安全 主题 进行 描 
绘 ,探讨 其 必要 性 和 重要 性 ,解释 清楚 什么 该 做 ,什么 不 该 做 。 安 全 策略 必须 遵循 三 个 基 
本 概念 : 确定 性 、 完 整 性 和 有 效 性 。 安 全 策略 须 简明 ,在 生产 效率 和 安全 之 间 应 该 有 一 个 
好 的 平衡 点 ,易于 实现 .易于 理解 

信息 安全 策略 (Information Security Policy,ISP) 是 一 个 组 织 机 构 中 解决 信息 安全 问 
题 最 重要 的 部 分 。 在 一 个 小 型 组 织 内 部 ,信息 安全 策略 的 制定 者 一 般 应 该 是 该 组 织 的 技 
术 管 理 者 ,在 一 个 大 的 组 织 内 部 ,信息 安全 策略 的 制定 者 可 能 是 由 一 个 多 方 人 员 组 成 的 小 
组 。 一 个 组 织 的 信息 安全 策略 反映 出 一 个 组 织 对 于 现实 和 未 来 安全 风险 的 认识 水 平 ,以 
及 对 于 组 织 内 部 业务 人 员 和 技术 人 员 安 全 风险 的 假定 与 处 理 。 


6.1.1 基本 概念 


信息 安全 策略 是 一 组 规则 , 它 定 义 了 一 个 组 织 要 实现 的 安全 目标 和 实现 这 些 安全 目 
标的 途径 。 

从 管理 的 角度 看 ,信息 安全 策略 是 组 织 关 于 信息 安全 的 文件 ,是 一 个 组 织 关于 信息 安 
全 的 基本 指导 原则 。 其 目标 在 于 减少 信息 安全 事故 的 发 生 , 将 信息 安全 事故 的 影响 与 损 
失 降 低 到 最 小 。 从 信息 系统 来 说 ,信息 安全 的 实质 就 是 控制 和 管理 主体 (用 户 和 进程 ) 对 
客体 (数据 和 程序 等 ) 的 访问 。 这 种 控制 可 以 通过 一 系列 的 控制 规则 和 目标 来 描述 ,这 些 
控制 规则 和 目标 就 叫 信息 安全 策略 。 信 息 安全 策略 描述 了 组 织 的 信息 安全 需求 以 及 实现 
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信息 安全 的 步骤 。 

信息 安全 策略 可 以 划分 为 两 个 部 分 : 问题 策略 (Issue Policy, IP) 和 功能 策略 
(Functional Policy,FP) 。 问 题 策略 描述 了 一 个 组 织 所 关心 的 安全 领域 和 对 这 些 领域 内 
安全 问题 的 基本 态度 。 功 能 策略 描述 如 何 解 决 所 关心 的 问题 ,包括 制定 具体 的 硬件 和 软 
件 配置 规格 说 明 、 使 用 策略 以 及 雇员 行为 策略 。 


6.1.2 ”特点 


信息 安全 策略 必须 制定 成 书面 形式 ,如 果 一 个 组 织 没 有 书面 的 信息 安全 策略 ,就 无 法 
定义 和 委派 信息 安全 责任 ,无 法 保证 所 执行 的 信息 安全 控制 的 一 致 性 ,信息 安全 控制 的 执 
行 也 无 法 审核 。 信 息 安全 策略 必须 有 清晰 和 完全 的 文档 描述 ,必须 有 相应 的 措施 保证 信 
息 安 全 策略 得 到 强制 执行 。 在 组 织 内 部 ,必须 有 行政 措施 保证 既定 的 信息 安全 策略 被 不 
折 不 扣 地 执行 ,管理 层 不 能 允许 任何 违反 组 织 信息 安全 策略 的 行为 存在 , 另 一 方面 ,也 需 
要 根据 业务 情况 的 变化 不 断 地 修改 和 补充 信息 安全 策略 。 

信息 安全 策略 的 内 容 应 有 别 于 技术 方案 。 信 息 安全 策略 只 是 描述 一 个 组 织 保证 信息 
安全 的 途径 的 指导 性 文件 , 它 不 涉及 具体 做 什么 和 如 何 做 的 问题 ,只 需 指出 要 完成 的 目 
标 。 信 息 安 全 策略 是 原则 性 的 ,不 涉及 具体 细节 ,对 于 整个 组 织 提供 全 局 性 指导 ,为 具体 
的 安全 措施 和 规定 提供 一 个 全 局 性 框架 。 在 信息 安全 策略 中 不 规定 使 用 什么 具体 技术 ， 
也 不 描述 技术 配置 参数 。 

信息 安全 策略 的 另外 一 个 特性 就 是 可 以 被 审核 , 即 能 够 对 组 织 内 各 个 部 门 信息 安全 
策略 的 遵守 程度 给 出 评价 。 

信息 安全 策略 的 描述 语言 应 该 是 简洁 的 、 非 技术 性 的 和 具有 指导 性 的 。 例 如 一 个 涉 
及 对 敏感 信息 加 密 的 信息 安全 策略 条 目 可 以 这 样 描述 : 

“任何 类 别 为 机 密 的 信息 ,无论 存 储 在 计算 机 中 ,还 是 通过 公共 网 络 传输 时 ,必须 使 有 
本 公司 信息 安全 部 门 指定 的 加 密 硬件 或 者 加 密 软 件 予 以 保护 。” 

这 个 叙述 没有 谈 及 加 密 算法 和 密 钥 长 度 , 所 以 当 旧 的 加 密 算法 被 替换 ,新 的 加 密 算法 
被 公布 的 时 候 , 无 须 对 信息 安全 策略 进行 修改 。 


6.1.3 信息 安全 策略 的 制定 原则 


在 制定 信息 安全 策略 时 ,要 遵循 以 下 的 原则 : 

(1) 先进 的 网 络 安全 技术 是 网 络 安全 的 根本 保证 。 用 户 对 自身 面临 的 威胁 进行 风险 
评估 ,决定 其 所 需要 的 安全 服务 种 类 .选择 相应 的 安全 机 制 ,然后 集成 先进 的 安全 技术 , 形 
成 一 个 全 方位 的 安全 系统 。 

(2) 严格 的 安全 管理 是 确保 安全 策略 落实 的 基础 。 各 计算 机 网 络 使 用 机 构 、 企 业 和 
单位 应 建立 相应 的 网 络 安全 管理 办 法 ,加强 内 部 管理 ,建立 合适 的 网 络 安全 管理 系统 ,加 
强 用 户 管理 和 授权 管理 ,建立 安全 审计 和 跟踪 体系 ,提高 整体 网 络 安 全 意识 。 

(3) 严格 的 法 律 ,法 规 是 网 络 安全 保障 的 坚强 后 盾 。 计 算 机 网 络 是 一 种 新 生 事物 , 它 
的 很 多 行为 无 法 可 依 、 无 章 可 循 ,导致 网 络 上 计算 机 犯罪 处 于 无 序 状态 。 面 对 日 趋 严 重 的 
网 络 犯罪 ,必须 建立 与 网 络 安全 相关 的 法 律 、 法 规 , 使 不 法 分 子 难 以 轻易 发 动 攻 击 。 
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6.1.4 信息 安全 策略 的 制定 过 程 


制定 信息 安全 策略 的 过 程 应 该 是 一 个 协商 的 团体 活动 ,信息 安全 策略 的 编写 者 必须 
了 解 组 织 的 文化 .目标 和 方向 ,信息 安全 策略 只 有 符合 组 织 文化 , 才 更 容易 被 遵守 。 所 编 
写 的 信息 安全 策略 还 必须 符合 组 织 已 有 的 策略 和 规则 ,符合 行业 .地 区 和 国家 的 有 关 规 定 
和 法 律 。 信 息 安全 策略 的 编写 者 应 该 包括 业务 部 门 的 代表 ,熟悉 当前 的 信息 安全 技术 , 深 
入 了 解 信息 安全 能 力 和 技术 解决 方案 的 限制 。 

衡量 一 个 信息 安全 策略 的 首要 标准 就 是 现实 可 行 性 。 因 此 信息 安全 策略 与 现实 业务 
状态 的 关系 是 : 信息 安全 策略 既 要 符合 现实 业务 状态 ,又 要 能 包容 未 来 一 段 时 间 的 业务 
发 展 要 求 。 在 编写 策略 文档 之 前 ,应 当先 确定 策略 的 总 体 目 标 , 必 须 保 证 已 经 把 所 有 可 能 
需要 策略 的 地 方 都 考虑 到 。 首 先 要 做 的 是 确定 要 保护 什么 以 及 为 什么 要 保护 它们 。 策 略 
可 以 涉及 硬件 .软件 ,访问 ,用户 .连接 ,网络 .通信 以 及 实施 等 各 个 方面 ,接着 就 需要 确定 
策略 的 结构 ,定义 每 个 策略 负责 的 区 域 ,并 确定 安全 风险 量化 和 估价 方法 ,明确 要 保护 什 
么 和 需要 付出 多 大 的 代价 去 保护 。 风 险 评估 也 是 对 组 织 内 部 各 个 部 门 和 下 属 雇员 对 于 组 
织 重 要 性 的 间接 度量 ,要 根据 被 保护 信息 的 重要 性 决定 保护 的 级 别 和 开销 。 信 息 安 全 策 
略 的 制定 同时 还 需要 参考 相关 的 标准 文本 和 类 似 组 织 的 安全 管理 经 验 。 

信息 安全 策略 草稿 完成 后 ,应 该 将 它 发 放 到 业务 部 门 去 征求 意见 ,和 弄 清 信息 安 全 策略 
会 如 何 影响 各 部 门 的 业务 活动 。 这 时 候 往往 要 对 信息 安全 策略 做 出 调整 ,最 终 ,任何 决定 
都 是 财政 现实 和 安全 之 间 的 一 种 权衡 。 


6.1.5 信息 安全 策略 的 框架 


信息 安全 策略 的 发 展 已 经 远 远 超 出 了 所 发 布 的 传统 应 用 的 使 用 策略 。 每 种 访问 计算 
机 系统 的 新 方法 和 开发 的 新 技术 ,都 会 导致 创建 新 的 安全 策略 。 而 信息 安全 策略 的 制定 
者 往往 综合 风险 评估 信息 对 业务 的 重要 性 ,考虑 组 织 所 遵从 的 安全 标准 ,制定 组 织 相应 
的 信息 安全 策略 ,这 些 策略 可 能 包括 以 下 几 个 方面 的 内 容 。 

(1) 加 密 策略 。 描 述 组 织 对 数据 加 密 的 安全 要 求 。 

(2) 使 用 策略 。 描 述 设备 使 用 、 计 算 机 服务 使 用 和 雇员 安全 规定 ,以 保护 组 织 的 信息 
和 资源 安全 。 

(3) 线路 连接 策略 。 描 述 诸如 传真 发 送 和 接收 、 模 拟 线路 与 计算 机 连接 、 拨 号 连接 等 
安全 要 求 。 

(4) 反 病 毒 策略 。 给 出 有 效 减少 计算 机 病毒 对 组 织 的 威胁 的 一 些 指导 方针 ,明确 在 
哪些 环节 必须 进行 病毒 检测 。 

(5) 应 用 服务 提供 策略 。 定 义 应 用 服务 提供 者 必须 遵守 的 安全 方针 。 

(6) 审计 策略 。 描 述 信息 审计 要 求 , 包 括 审计 小 组 的 组 成 ,权限 .事故 调查 安全 风险 
估计 信息 安全 策略 符合 程度 评价 ,对 用 户 和 系统 活动 进行 监控 等 活动 的 要 求 。 

(7) 电子 邮件 使 用 策略 。 描 述 内 部 和 外 部 电子 邮件 接收 、 传 递 的 安全 要 求 。 

(8) 数据 库 策略 。 描 述 存储 、 检 索 、 更 新 等 管理 数据 库 数据 的 安全 要 求 。 

(9) 第 三 方 的 连接 策略 。 定 义 第 三 方 接 入 的 安全 要 求 。 
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(10) 敏感 信息 策略 。 对 于 组 织 的 机 密 信 息 进 行 分 级 ,按照 它们 的 敏感 度 描述 安全 

(11) 内 部 策略 。 描 述 对 组 织 内 部 各 种 活动 的 安全 要 求 ,使 组 织 的 产品 服务 和 利益 受 
到 充分 保护 。 

(12) Internet 接 入 策略 。 定 义 在 组 织 防火 墙 之 外 的 设备 和 操作 的 安全 要 求 。 

(13) 口令 防护 策略 。 定 义 创建 ,保护 和 改变 口令 的 要 求 。 

(14) 远程 访问 策略 。 定 义 从 外 部 主机 或 者 网 络 连 接 到 组 织 的 网 络 进行 外 部 访问 的 
安全 要 求 。 

(15) 路 由 器 安全 策略 。 定 义 组 织 内 部 路 由 器 和 交换 机 的 最 低 安 全 配置 。 

(16) 服务 器 安全 策略 。 定 义 组 织 内 部 服务 器 的 最 低 安全 配置 。 

(17) VPN 安全 策略 。 定 义 通过 VPN 接 入 的 安全 要 求 。 

(18) 无 线 通信 策略 。 定 义 无 线 系统 接 入 的 安全 要 求 。 


6.2 信息 安全 策略 规划 与 实施 


信息 安全 策略 的 制定 首先 要 进行 前 期 的 规划 工作 ,包括 确定 安全 策略 保护 的 对 象 、. 确 
定 参 与 编写 安全 策略 的 人 员 ,以 及 信息 安全 策略 中 使 用 的 核心 安全 技术 。 同 时 也 要 考虑 
制定 原则 ,参考 结构 等 因素 。 下 面 对 以 上 环节 分 别 进行 描述 。 通 过 系统 地 学 习 这 些 知 识 
内 容 , 可 以 对 制定 安全 策略 的 工作 有 较 深 的 认识 ,并 根据 涉及 的 具体 工作 内 容 , 可 以 熟练 
地 制订 工作 计划 ,然后 轻松 地 完成 目标 任务 。 


6.2.1 确定 安全 策略 保护 的 对 象 


1. 信息 系统 的 硬件 与 软件 

硬件 和 软件 是 支持 商业 运作 的 平台 ,是 信息 系统 的 主要 构成 因素 ,它们 应 该 首先 受到 
安全 策略 的 保护 。 所 以 整理 一 份 完整 的 系统 软 硬 件 清 单 是 首要 的 工作 ,其 中 包括 系统 涉 
及 的 网 络 结构 图 ,如 图 6-1 所 示 为 系统 软 、 硬 件 及 网 络 系统 结构 图 。 可 以 有 多 种 方法 来 建 
立 这 份 清单 及 网 络 结构 图 ,不 管用 哪 种 方法 ,都 必须 要 确定 系统 内 所 有 的 相关 内 容 都 已 经 
被 记录 。 在 绘制 网 络 结构 图 以 前 , 先 要 理解 数据 是 如 何在 系统 中 流动 的 。 根 据 详 细 的 数 
据 流 程 图 ,可 以 显示 出 数据 的 流动 是 如 何 支 持 具 体 业 务 运作 的 ,并 且 可 以 找 出 系统 中 的 一 
些 重 点 区 域 。 重 点 区 域 是 指 需要 重点 应 用 安全 措施 的 区 域 。 也 可 以 在 网 络 结构 图 中 标明 
数据 (或 数据 库 ) 存 储 的 具体 位 置 ,以 及 数据 如 何在 网 络 系统 中 备份 审查 与 管理 。 

2. 信息 系统 的 数据 

计算 机 和 网 络 所 做 的 每 一 件 事 情 都 造成 了 数据 的 流动 和 使 用 。 由 于 数据 处 理 的 重要 
性 ,在 定义 策略 需求 和 编制 物品 清单 的 时 候 : 了 解数 据 的 使 用 和 结构 是 编写 安全 策略 的 基 
本 要 求 。 

(1) 数据 处 理 。 数 据 是 组 织 的 命脉 ,在 编写 策略 的 时 候 , 策 略 必须 考虑 数据 如 何 处 
理 , 怎 么 保证 数据 的 完整 性 和 保密 性 。 除 此 以 外 ,还 必须 考虑 如 何 监测 数据 的 处 理 。 

当 使 用 第 三 方 的 数据 时 ,大 部 分 的 数据 源 都 有 关联 的 使 用 和 审核 协议 ,这 些 协议 可 以 
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在 数据 的 获取 过 程 中 得 到 。 作 为 数据 清单 的 一 部 分 ,外 部 服务 和 其 他 来 源 也 应 该 被 加 入 
清单 中 。 清 单 中 要 记录 谁 来 处 理 这 些 数据 以 及 在 什么 情况 下 这 些 数据 被 获得 和 传播 。 

(2) 个 人 数据 。 在 业务 运作 过 程 中 ,可 以 通过 很 多 方法 来 搜集 个 人 数据 。 无论 数据 
是 如 何 获得 的 ,都 必须 指定 策略 ,以 使 所 有 人 明白 数据 是 如 何 使 用 的 。 

涉及 隐私 策略 的 时 候 , 必 须 定 义 好 隐私 条 例 。 策 略 里 面 应 该 声明 私有 物 、 专 有 物 以 及 
其 他 类 似 信息 在 未 经 预先 同意 之 前 是 不 能 被 公开 的 。 

3， 人 员 

在 考虑 人 员 因 素 时 ,重点 应 该 放 在 哪些 人 在 何 种 情况 下 能 够 访问 系统 内 资源 。 策 略 
对 哪些 需要 的 人 授予 直接 访问 的 权力 ,并且 在 策略 中 还 要 给 出 “直接 访问 ”的 定义 。 在 定 
义 了 谁 能 够 访问 特定 的 资源 以 后 , 接 下 来 要 考虑 的 就 是 强制 执行 制度 和 对 未 授权 访问 的 
惩罚 制度 。 对 违反 策略 的 现象 是 否 有 纪律 上 的 处 罚 , 在 法 律 上 又 能 做 些 什么 ,这 些 都 应 
考虑 。 


6.2.2 ”确定 安全 策略 使 用 的 主要 技术 


在 规划 信息 系统 安全 策略 中 ,还 需要 考虑 该 安全 策略 使 用 的 是 何 种 安全 核心 技术 。 
一 般 来 讲 , 常 见 的 安全 核心 技术 包括 以 下 几 个 方面 。 

1. 防火 墙 技 术 

目前 ,保护 内 部 网 免 遭 外 部 人 侵 比较 有 效 的 方法 为 防火 墙 技术 。 ai 
或 一 组 系统 , 它 在 内 部 网 络 与 互联 网 间 执行 一 定 的 安全 策略 。 一 个 有 效 的 防火 墙 应 
够 确保 所 有 从 互联 网 流入 或 流向 互联 网 的 信息 都 将 经 过 防火 墙 , 且 所 有 流 经 he 
息 都 应 接受 检查 。 

现 有 的 防火 墙 主 要 有 包 过 滤 型 .代理 服务 器 型 .复合 型 以 及 其 他 类 型 ( 双 宿 主 主机 \ 主 
机 过 滤 以 及 加 密 路 由 器 ) 防 火 墙 。 

2. 入 侵 检 测 技术 

入侵 检测 系统 通过 分 析 、 审 计 记 录 , 识 别 系 统 中 任何 不 应 该 发 生 的 活动 ,并 采取 相应 


信息 安全 工程 


的 措施 报告 与 制止 人 侵 活动 ,不仅 包括 发 起 攻击 的 人 (如 恶意 的 黑客 ) 取 得 超出 合法 范围 
的 系统 控制 权 , 也 包括 收集 漏洞 信息 、 造 成 拒绝 访问 (DoS) 等 对 计算 机 系统 造成 危害 的 行 
为 。 入 侵 行 为 不 仅 来 自 外 部 .同时 也 指 内 部 用 户 的 未 授权 活动 。 通 用 入 侵 检测 系统 模型 


如 图 6-2 所 示 。 
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规则 设计 与 修改 
和 创建 ”KC 要 廊 志 应 
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图 6-2 通用 入 侵 检测 系统 模型 


入 侵 检 测 系统 根据 其 采用 的 技术 可 以 分 为 异常 检测 和 特征 检测 ,根据 系统 所 监测 的 
对 象 可 分 为 基于 主机 的 入侵 检测 系统 、 基 于 网 络 的 入 侵 检测 系统 和 基于 网 关 的 入 侵 检 测 
系统 ,根据 系统 的 工作 方式 可 分 为 离线 检测 系统 与 在 线 检测 系统 。 

在 检测 方法 上 ,一 般 有 统计 方法 ,预测 模式 生成 方法 等 ,详细 如 表 6-1 所 示 。 


表 6-1 入 侵 检 测 方 法 


























入 侵 检测 方法 简单 描述 
统计 方法 成 熟 的 入侵 检测 方法 ,具有 学 习 主体 的 日 常 行为 的 能 力 
预测 模式 生成 ne 
专家 系统 用 专家 系统 判断 有 特征 的 入 侵 行为 
键盘 监视 器 对 用 户 击 键 序列 的 模式 分 析 检测 人 侵 行 为 
基于 模型 的 人 侵 检测 方法 ”| 使 用 行为 序列 产生 的 模型 推测 
状态 转移 分 析 使 用 状态 转换 图 分 析 审 计 事件 
模式 匹配 利用 已 知 的 人 侵 特征 编码 匹配 检测 
软 计算 方法 使 用 神经 网 络 、 遗 传 算法 与 模糊 技术 等 方法 
3. 备份 技术 


在 使 用 计算 机 系统 处 理 越 来 越 多 日 常 业务 的 同时 ,数据 失效 问题 变 得 十 分 突出 。 一 
旦 发 生 数据 失效 ,如 果 系统 无 法 顺利 恢复 ,最 终结 果 将 不 堪 设 想 。 所 以 信息 化 程度 越 高 ， 
备份 和 灾难 恢复 措施 就 越 重要 。 

对 计算 机 系统 进行 全 面 的 备份 ,并 不 只 是 拷贝 文件 那么 简单 。 一 个 完整 的 系统 备份 
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方案 应 包括 : 备份 硬件 、 备 份 软件 ,日常 备份 制度 (Backup Routines,BR) 和 灾难 恢复 计划 
(Disaster Recovery Plan,DRP) 四 个 部 分 。 选 择 了 备份 硬件 和 软件 后 ,还 需要 根据 自身 情 
况 制 定 日 常备 份 制度 和 灾难 恢复 计划 ,并 由 管理 人 员 切 实 执行 备份 制度 ,否则 系统 安全 仅 
仅 是 纸上谈兵 。 

所 谓 备份 ,就 是 保留 一 套 后 备 系统 ,后 备 系统 在 一 定 程 度 上 可 替代 现 有 系统 。 与 备份 
对 应 的 概念 是 恢复 ,恢复 是 备份 的 逆 过 程 ,利用 恢复 措施 可 将 损坏 的 数据 重新 建立 起 来 。 

备份 可 分 为 三 个 层次 : 硬件 级 ,软件 级 和 人 工 级 。 硬 件 级 的 备份 是 指 用 元 余 的 硬件 
来 保证 系统 的 连续 运行 ,例如 磁盘 镜像 、 双 机 容错 等 方式 。 软 件 级 的 备份 指 将 数据 保存 到 
其 他 介质 上 , 当 出 现 错误 时 可 以 将 系统 恢复 到 备份 时 的 状态 。 而 人 工 级 的 备份 是 原始 的 
采用 手工 的 方法 ,简单 有 效 .但 耗费 时 间 。 目 前 常用 的 备份 措施 及 特点 如 表 6-2 所 示 。 


表 6-2 常用 备份 措施 及 特点 








常用 备份 措施 特 点 
磁盘 镜像 可 防止 单个 硬盘 的 物理 损坏 ,但 无 法 防止 逻辑 损坏 
磁盘 阵列 采用 RAID5 技术 ,可 防止 多 个 硬盘 的 物理 损坏 ,但 无 法 防止 逻辑 损坏 
双 机 容错 双 机 容错 可 以 防止 单 台 计算 机 的 物理 损坏 ,但 无 法 防止 逻辑 损坏 
数据 拷贝 可 以 防止 系统 的 物理 损坏 ,在 一 定 程度 上 防止 逻辑 损坏 

4. 加 密 技术 


网 络 技术 的 发 展 凸 显 了 网 络 安全 问题 ,如 病毒 .黑客 程序 、 邮 件 炸弹 、 远 程 侦 听 等 ,这 
一 切 都 为 安全 性 造成 了 障碍 ,但 安全 问题 不 可 能 找到 彻底 的 解决 方案 。 一 般 的 解决 途径 
是 信息 加 密 技 术 , 它 可 以 提供 安全 保障 ,如 在 网 络 中 进行 文件 传输 .电子 邮件 往来 和 进行 
合同 文本 的 签署 等 。 

数据 加 密 的 基本 过 程 就 是 对 原来 为 明文 的 文件 或 数据 按 某 种 算法 进行 处 理 , 使 其 成 
为 不 可 读 的 一 段 代 码 ,通常 称 为 " 密 文 ,使 其 只 能 在 输入 相应 的 密 钥 之 后 才能 显示 出 本 来 
内 容 ,通过 这 样 的 途径 来 达到 保护 数据 不 被 非法 窃取 的 目的 。 该 过 程 的 逆 过 程 为 解密 , 即 
将 该 编码 信息 转换 为 其 原来 数据 的 过 程 。 

加 密 在 网 络 上 的 作用 就 是 防止 有 用 的 或 私有 化 的 信息 在 网 络 上 被 拦截 和 窃取 。 加 密 
后 的 内 容 即 使 被 非法 获得 也 是 不 可 读 的 。 

加 密 技术 通常 分 为 两 大 类 :“ 对 称 式 ” 和 * 非 对 称 式 ”。 对 称 式 加 密 就 是 加 密 和 解密 使 
用 同一 个 密 钥 ,这 种 加 密 技术 目前 被 广泛 采用 ,如 美国 政府 所 采用 的 DES 加 密 标准 就 是 
一 种 典型 的 “对 称 式 ” 加 密 方法 。 非 对 称 式 加 密 就 是 加 密 和 解密 所 使 用 的 不 是 同一 个 密 
钥 , 通 常 有 两 个 密 钥 , 称 为 “ 公 钥 ”和 *“ 私 钥 ”, 它 们 两 个 必须 配对 使 用 ,否则 不 能 打开 加 密 文 
件 。 其 中 的 “ 公 钥 ”是 可 以 公开 的 ,解密 时 只 要 用 自己 的 私 钥 , 这 样 就 很 好 地 避免 了 密 钥 的 
传输 安全 问题 。 

数字 签名 和 身份 认证 就 是 基于 加 密 技术 的 , 它 的 作用 是 用 来 确定 用 户 身份 的 真实 性 。 
应 用 数字 签名 最 多 的 是 电子 邮件 ,由 于 伪造 一 封 电子 邮件 极为 容易 ,使 用 加 密 技术 基础 上 
的 数字 签名 ,就 可 确认 发 信人 身份 的 真实 性 。 
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类 似 数字 签名 技术 的 还 有 一 种 身份 认证 技术 ,有 些 站 点 提供 FTP 和 WWW 服务 ,如 
何 确定 正在 访问 用 户 服务 器 的 是 合法 用 户 ? 身份 认证 技术 是 一 个 很 好 的 解决 方案 。 


6.2.3 安全 策略 的 实施 


当 所 有 必要 的 信息 系统 安全 策略 都 制定 完毕 ,就 该 开始 考虑 策略 的 实施 与 推广 。 在 
实施 与 推广 的 过 程 中 ,也 应 该 对 随时 产生 的 问题 加 以 记录 ,并 更 新 安全 策略 以 解决 类 似 的 
安全 问题 。 

但 是 信息 安全 不 是 业务 组 织 和 工作 人 员 自 然 的 需求 ,信息 安全 需求 是 在 经 历 了 信息 
损失 之 后 才 有 的 。 所 以 ,管理 对 信息 安全 是 必 不 可 少 的 。 

1. 当前 网 络 系统 存在 的 问题 

安全 策略 制定 完成 后 , 现 有 的 策略 也 许 不 能 完全 覆盖 企业 信息 系统 的 每 个 方面 、 角 落 
或 细节 ,而且 随 着 时 间 的 推移 ,企业 信息 系统 会 有 不 同 程度 的 改变 ,这 时 就 要 注意 当前 网 
络 (信息 ) 系 统 是 否 存在 问题 ,存在 哪些 问题 。 常 见 问题 有 以 下 几 个 方面 。 

(1) 系统 设备 和 支持 的 网 络 服务 大 而 全 ,但 其 实 越 少 的 服务 意味 着 越 少 的 攻击 机 会 。 

(2) 网 络 系统 集成 了 很 多 好 看 但 安全 性 并 不 好 的 服务 。 例 如 ,企业 网 络 上 传输 声音 
文件 ,视频 文件 共享 等 。 

(3) 复杂 的 网 络 结构 潜伏 着 不 计 其 数 的 安全 隐患 ,甚至 不 需要 特别 的 技能 和 耐心 就 
可 发 起 危害 极 大 的 攻击 活动 。 

当 发 现 现 有 的 信息 安全 策略 不 能 很 好 解决 这 些 问 题 时 ,就 需要 及 时 制定 新 的 策略 对 
现 有 的 策略 予以 补充 与 更 新 。 

2. 网 络 信息 安全 的 基本 原则 

在 信息 安全 策略 已 经 得 到 正常 实施 的 同时 ,为 了 计算 机 和 网 络 达到 更 高 的 安全 性 , 必 
须 采 用 一 些 网 络 信息 安全 的 基本 规则 : 

。 安全 性 和 复杂 性 成 反比 ; 
安全 性 和 可 用 性 成 反比 ; 

。 安全 问题 的 解决 是 个 动态 过 程 ; 
安全 是 投资 ,不 是 消费 ; 
信息 安全 是 一 个 过 程 ,而 不 是 一 个 产品 。 

3. 策略 实施 后 要 考虑 的 问题 

安全 策略 实施 的 同时 还 要 注意 易 损 性 分 析 、 风 险 分 析 和 威胁 评估 。 包 括 资 产 的 鉴定 
与 评估 、 威 胁 的 假定 与 分 析 、 易 损 性 评估 、 现 有 措施 的 评价 、 分 析 的 费用 及 收益 、 信 息 的 使 
用 与 管理 ,安全 措施 间 的 相关 性 等 。 有 些 问 题 在 策略 实施 过 程 中 也 需要 认真 考虑 。 

4. 安全 策略 的 启动 

安全 策略 “ 自 项 向 下 ”的 设计 步骤 使 得 指导 方针 的 贯彻 过程 的 处 理工 作 的 有 效 性 成 
为 可 能 。 

启动 安全 策略 主要 包括 下 面 几 个 方面 : 启动 安全 策略 ,安全 架构 指导 、 事 件 反映 过 程 、 
可 接受 的 应 用 策略 、 系 统管 理 过 程 和 其 他 管理 过 程 。 具 体 的 安全 策略 启动 模型 如 图 6-3 
所 示 。 
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图 6-3 安全 策略 启动 模型 


启动 安全 策略 : 解释 策略 文档 的 设计 目的 ,以 及 组 织 性 和 过 程 状态 描述 。 

安全 架构 指导 : 指 在 风险 评估 过 程 中 对 发 现 的 威胁 所 采取 的 对 策 。 例 如 ,防火 墙 的 
放置 位 置 ,什么 时 间 使 用 加 密 , Web 服务 器 的 放置 位 置 和 怎样 与 商业 伙伴 、 客 户 进行 通信 
联系 等 。 安 全 架构 指导 确保 了 安全 计划 设计 的 合理 性 、 审 核 与 有 效 控制 。 该 部 分 需要 专 
门 的 技术 ,需要 接受 外 部 咨询 机 构 的 服务 或 内 部 培训 ,包括 基于 Web 资源 、 书 本、 技术 文 
件 与 会 议 讨论 等 形式 。 

事件 响应 过 程 : 在 出 现 紧急 情况 时 ,通常 考虑 的 呼叫 对 象 包括 公司 管理 人 员 .业务 部 
门 经 理 、 系 统 安 全 管理 小 组 ,警察 等 。 按 照 什么 样 的 顺序 进行 呼叫 是 事件 反映 过 程 处 理 的 
一 部 分 。 

可 接受 的 应 用 策略 : 计算 机 系统 和 网 络 安全 策略 的 启动 将 引出 各 种 各 样 的 应 用 策 
略 。 策 略 的 数量 与 类 型 依赖 于 当前 的 商务 需求 分 析 ` 风 险 的 评估 与 企业 文化 。 

系统 管理 过 程 : 管理 过 程 说 明了 信息 如 何 标记 与 处 理 ,以 及 怎样 去 访问 这 些 信息 。 
对 商业 需求 和 风险 、 地 方 的 安全 架构 指导 有 适当 了 解 ,就 可 以 制定 出 专 有 的 平台 策略 和 相 
关 的 处 理 过 程 。 

5. 实施 中 的 法 律 问题 

应 该 注意 避免 信息 安全 策略 违反 法 律 法规 和 合同 。 信 息 系统 的 设计 、 使 用 和 管理 应 
该 符合 法 律 和 合同 安全 要 求 。 与 法 律 有 关 的 问题 包括 : 

。 知识 产权 与 版 权 ; 
软件 著作 权 ; 
。 人 事 信 息 的 私有 性 和 数据 保护 ， 
。 组 织 记 录 的 安全 防护 ; 
防止 监控 手段 的 误 用 ; 
加 密 控制 规定 ; 
。 证据 收集 ; 
。 事故 处 理 。 





6.3 环境 安全 策略 


计算 机 硬件 及 其 运行 环境 是 网 络 信息 系统 运行 的 最 基本 因素 ,其 安全 程度 对 网 络 、 信 
息 的 安全 有 着 重要 的 影响 。 由 于 自然 灾害 .设备 自然 损坏 和 环境 干扰 等 自然 因素 以 及 人 
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为 有 意 或 无 意 破坏 与 窃取 等 原因 ,计算 机 设备 和 其 中 信息 的 安全 会 受到 很 大 的 威胁 。 下 
面 通过 讨论 信息 系统 中 硬件 设备 及 其 运行 环境 ,以 及 面临 的 各 种 安全 威胁 和 防护 策略 , 简 
要 介绍 利用 硬件 技术 来 编制 .实现 环境 安全 策略 的 一 些 方法 。 

环境 安全 策略 应 该 简单 而 全 面 。 首 先 , 审 查 现 有 的 设施 (计算 机 、 服 务 器 ` 通 信 设 备 
等 ) ,并 用 非 专 业 词汇 来 定义 它 。 编 写 策略 文档 时 所 用 的 语言 描述 是 非常 重要 的 ,尤其 是 
策略 所 用 的 语言 描述 的 风格 ,可 以 影响 到 文档 本 身 以 及 如 何 看 待 策略 。 环 境 安全 结构 策 
略 还 要 考虑 到 宛 余 电力 供应 的 可 行 性 和 对 公共 平台 的 访问 。 


6.3.1 环境 保护 机 制 


环境 保护 涉及 的 主要 机 制 或 措施 由 空调 系统 、 防 静电 系统 、 防 火 系统 等 方面 构成 。 制 
定 环境 保护 策略 前 ,应 首先 对 一 些 环境 保护 机 制 或 措施 有 所 了 解 , 然 后 针对 自身 的 情况 ， 
就 可 以 对 相关 策略 做 出 一 个 正确 的 定位 。 

1. 空调 系统 

计算 机 房 内 的 空调 系统 是 保证 计算 机 系统 正常 运行 的 重要 设备 之 一 。 通 过 空调 系统 
使 机 房 的 温度 、 湿 度 和 洁净 度 得 到 保证 ,从 而 使 系统 正常 工作 。 重 要 的 计算 机 系统 安放 处 
应 有 单独 的 空调 系统 , 它 比 公用 的 空调 系统 在 加 湿 ,除尘 方面 应 该 有 更 高 的 要 求 。 环 境 控 
制 的 主要 指标 有 温度 、 湿 度 和 洁净 度 等 ,其 中 机 房 温度 一 般 控制 在 (20 土 2)'C ,相对 湿度 一 
般 控 制 在 (50 士 5%) ,机 房 内 一 般 应 采用 乙 燃 类 材料 装修 ,避免 使 用 挂 毯 . 地 毯 等 吸 尘 材 
料 。 人 员 进 出 门 应 有 隔离 间 , 并 应 安装 吹 尘 、 吸 尘 设备 ,以 排除 进入 人 员 所 带 的 灰尘 。 空 
调 系 统 进 风 口 应 安装 空气 滤 清 器 ,并 应 定期 清洁 和 更 换 过 滤 材 料 , 以 防 灰尘 进入 。 

2. 防 静 电 措施 

为 避免 静电 的 影响 ,最 基本 的 措施 是 接地 ,将 物体 积聚 的 静电 迅速 释放 到 大 地 。 为 
此 ,机 房 地 板 基体 (或 全 部 ) 应 为 金属 材料 并 接 大 地 ,使 人 或 设备 在 其 上 运动 产生 的 静电 随 
时 可 释放 出 去 。 机 房 内 的 专用 工作 台 或 重要 的 操作 台 应 有 接地 平板 ,必要 时 ,每 人 可 带 一 
个 金属 手 环 ,通过 导线 与 接地 平板 连接 。 此 外 ,工作 人 员 的 服装 和 鞋 最 好 用 低 阻 值 的 材料 
制作 ,机房 内 避免 湿度 过 低 ,在 北方 干燥 季节 应 适当 加 湿 , 以 免 产 生 静 电 。 

3. 防火 机 制 

为 避免 火灾 ,应 在 安全 策略 中 标明 采取 以 下 防火 机 制 。 

(1) 分 区 隔离 。 建 筑 内 的 机 房 四 周 应 设计 为 一 个 隔离 带 , 以 使 外 部 的 火灾 至 少 可 隔 
离 1 小 时 。 

(2) 火灾 报警 系统 。 为 安全 起 见 , 机 房 应 配备 多 种 报警 系统 ,并 保证 在 断 电 后 24 小 
时 之 内 仍 可 发 出 警报 。 报 警 器 为 音响 或 灯光 报警 ,一 般 安 放 在 值班 室 或 人 员 集 中 处 ,以 便 
工作 人 员 及 时 发 现 并 向 消防 部 门 报告 ,组织 人 员 玻 散 等 。 

(3) 灭火 设施 。 机 房 所 在 楼 层 应 有 消防 栓 和 必要 的 灭火 器 材 和 工具 ,这 些 物品 应 具 
有 明显 的 标记 , 且 须 定期 检查 。 

(4) 管理 措施 。 计 算 机 系统 实体 发 生 重大 事故 时 ,为 尽 可 能 减少 损失 ,应 制定 应 急 计 
划 。 建 立 应 急 计划 时 应 考虑 到 对 实体 的 各 种 威胁 ,以 及 每 种 威胁 可 能 造成 的 损失 等 。 在 
此 基础 上 ,制定 对 各 种 灾害 事件 的 响应 程序 ,规定 应 急 措 施 ,使 损失 降 到 最 低 限 度 。 








第 6 章 _ 信 息 安全 策略 Sm 
6.3.2 电源 


电源 是 计算 机 系统 正常 工作 的 重要 因素 。 供 电 设备 容量 应 有 一 定 的 储备 ,所 提供 的 
功率 应 是 全 部 设备 负载 的 125%%。 计 算 机 房 设备 应 与 其 他 用 电 设备 隔离 ,它们 应 为 变 压 
器 输出 的 单独 一 路 而 不 与 其 他 负载 共享 一 路 。 策 略 中 应 采用 电源 保护 装置 ,重要 的 计算 
机 房 应 配置 抵抗 电压 不 足 的 设备 ,如 UPS 或 应 急电 源 。 另 外 ,计算 机 系统 和 工作 场地 的 
接地 是 非常 重要 的 安全 措施 ,可 以 保护 设备 和 人 身 的 安全 ,同时 也 可 避免 电磁 信息 泄漏 。 
具体 措施 有 交 / 直 流 分 开 的 接地 系统 、 共 地 接地 系统 等 。 


6.3.3 硬件 保护 机 制 


硬件 是 组 成 计算 机 的 基础 。 硬 件 防护 措施 仍 是 计算 机 安全 防护 技术 中 不 可 缺少 的 一 
部 分 。 特 别 是 对 于 重要 的 系统 , 须 将 硬件 防护 同系 统 软件 的 支持 相 结合 ,以 确保 安全 。 包 
括 两 方面 策略 : 计算 机 设备 的 安全 设置 和 外 部 辅助 设备 的 安全 。 

(1) 计算 机 设备 的 安全 设置 。 可 采用 计算 机 加 锁 和 使 用 专门 的 信息 保护 卡 来 实现 。 

(2) 外 部 辅助 设备 的 安全 。 外 部 辅助 设备 的 安全 包括 打印 机 、 磁 盘 阵 列 和 中 断 设 备 
安全 。 其 中 ,打印 机 使 用 时 一 定 要 遵守 操作 规则 ,出 现 故 障 时 一 定 要 先 切断 电源 ,数据 线 
不 要 带电 插 拔 。 磁 盘 阵 列 要 注意 防磁 、 防 尘 、 防 潮 、 防 冲击 ,避免 因 物 理 上 的 损坏 而 使 数据 
丢失 。 终 端 上 可 加 锁 , 与 主机 之 间 的 通信 线路 不 宜 过 长 ,显示 敏感 信息 的 终端 还 要 防 电磁 








6.4 系统 安全 策略 


建立 系统 安全 策略 的 主要 目的 是 为 了 在 日 常 工作 中 保障 信息 安全 与 系统 操作 安全 。 
系统 安全 策略 主要 包括 WWW 服务 策略 .数据库 系统 安全 策略 .邮件 系统 安全 策略 .应 
服务 系统 安全 策略 ` 个 人 桌面 系统 安全 策略 及 其 他 业务 相关 系统 安全 策略 等 。 下 面 分 别 
进行 介绍 。 


6.4.1 WWW 服务 策略 


WWW 作为 互联 网 提供 的 重点 服务 ,目前 应 用 已 经 日 益 广泛 , 且 用 户 对 WWW 服务 
的 依赖 逐渐 多 方面 化 .多 层次 化 ,制定 一 份 WWW 服务 策略 是 非常 必要 的 。 
1. WWW 服务 的 安全 漏洞 
WWW 服务 的 漏洞 一 般 可 以 分 为 以 下 几 类 : 
。 操作 系统 本 身 的 安全 漏洞 ; 
。 明文 或 弱 口令 漏洞 ; 
Web 服务 器 本 身 存 在 一 些 漏洞 ; 
CGICCommon Gateway Interface) 安 全 方面 的 漏洞 。 
2. Web 欺骗 
Web 欺骗 是 指 攻 击 者 以 受 攻击 的 名 义 将 错误 或 者 易于 误解 的 数据 发 送 到 真正 的 
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Web 服务 器 ,以 及 以 任何 Web 服务 器 的 名 义 发 送 数 据 给 受 攻 击 者 。 简 而 言 之 ,攻击 者 观 
察 和 控制 着 受 攻击 者 在 Web 上 做 的 每 一 件 事 。 

Web 欺骗 包括 两 个 部 分 : 安全 决策 和 暗示 。 

(1) 安全 决策 。 安 全 决策 往往 都 含有 较为 敏感 的 数据 。 如 果 一 个 安全 决策 存在 问 
题 ,就 意味 着 决策 人 在 做 出 决策 后 ,因为 关键 数据 的 泄漏 而 导致 决策 失败 。 

(2) 暗示 。 目 标的 出 现 往往 传递 着 某 种 暗示 。Web 服务 器 提供 给 用 户 的 是 丰富 多 彩 
的 各 类 信息 ,人 们 的 经 验 值 往往 决定 了 接受 暗示 的 程度 ,但 上 暗示 中 往往 包含 有 不 安全 的 操 
作 活 动 。 人 们 习惯 于 此 且 不 可 避免 地 被 这 种 暗示 所 欺骗 。 

3. 针对 Web 欺骗 的 策略 

Web 欺骗 是 互联 网 上 具有 相当 危险 性 而 不 易 被 察觉 的 欺骗 手法 。 可 以 采取 的 一 些 
保护 策略 有 : 

。 改变 浏览 器 ,使 之 具有 反映 真实 URL 信息 的 功能 ,而 不 会 被 蒙 项， 

。 通过 安全 连接 建立 的 Web 服务 器 一 一 浏览 器 对 话 。 


6.4.2 电子 邮件 安全 策略 


伴随 着 网 络 的 迅速 发 展 ,电子 邮件 也 成 为 Internet 上 最 普及 的 应 用 。 电 子 邮件 的 方 
便 性 ,快捷 性 及 低廉 的 费用 赢得 了 众多 用 户 的 好 评 。 但 是 ,电子 邮件 在 飞速 发 展 的 同时 也 
遇 到 了 安全 问题 。 解 决 的 方法 包括 两 个 方面 : 反 病 毒 和 内 容 保密 。 

1. 反 病 毒 策略 

病毒 通过 电子 邮件 进行 传播 具有 两 个 重要 特点 : 四 传播 速度 快 ,传播 范围 广 ; 四 破 
坏 力 大 。 对 于 电子 邮件 用 户 而 言 ,杀毒 不 如 防毒 。 如 果 用 户 没有 和 运行 或 打开 附件 ,病毒 是 
不 会 被 激活 的 。 所 以 ,可 行 的 安全 策略 是 采用 实时 扫描 技术 的 防 病毒 软件 , 它 可 以 在 后 台 
监视 操作 系统 的 文件 操作 ,在 用 户 进行 磁盘 访问 .文件 复制 .文件 创建 .文件 改名 ,程序 执 
行 ,系统 启动 和 准备 关闭 时 检测 病毒 。 

2. 内 容 保 密 策略 

未 加 密 的 电子 邮件 信息 会 在 传输 过 程 中 被 人 截获 .阅读 并 加 以 自 改 ,保证 其 通信 的 安 
全 已 经 成 为 人 们 高 度 关 心 的 问题 。 电 子 邮件 内 容 的 安全 取决 于 邮件 服务 器 的 安全 .邮件 
传输 网 络 的 安全 以 及 邮件 接收 系统 的 安全 。 因 而 保证 电子 邮件 内 容 安全 的 策略 主要 有 : 

(1) 采用 电子 邮件 安全 网 关 , 也 就 是 用 于 电子 邮件 的 防火 墙 。 进 入 或 输出 的 每 一 条 
消息 都 经 过 网 关 , 从 而 使 安全 政策 可 以 被 执行 (在 何 时 .向 何 地 发 送 消 息 ), 病 毒 检 查 可 以 
被 实施 ,并 对 消息 签名 和 加 密 。 

(2) 在 用 户 端 使 用 安全 电子 邮件 协议 。 目 前 主要 有 两 个 协议 : S/MIME (Secure/ 
Multipurpose Internet Mail Extensions) 和 PGP(Pretty Good Privacy) 。 这 两 个 协议 的 目 
的 基本 相同 ,都 是 为 电子 邮件 提供 安全 功能 ,对 电子 邮件 进行 可 信 度 验证 ,保护 邮件 的 完 
整 性 及 反 抵 赖 。 


6.4.3 数据 库 安 全 策略 
数据 库 安 全 策略 的 目的 是 最 大 限度 保护 数据 库 系 统 及 数据 库 文件 不 受 侵害 。 现 有 的 
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数据 库 文件 安全 技术 主要 通过 以 下 三 个 途径 来 实现 : 

。 依靠 操作 系统 的 访问 控制 功能 实现 ; 

。 采用 用 户 身份 认证 实现 ; 

。 通 过 对 数据 库 加 密 来 实现 。 

在 此 基础 上 ,数据 库 安全 策略 的 具体 实现 机 制 有 以 下 几 点 : 

(1) 在 存储 数据 库 文件 时 ,使 用 本 地 计算 机 的 一 些 硬件 信息 及 用 户 密码 加 密 数据 库 
文件 的 文件 特征 说 明 部 分 和 字段 说 明 部 分 。 

(2) 在 打开 数据 库 文件 时 ,自动 调用 本 地 计算 机 的 一 些 硬件 信息 及 用 户 密码 ,解密 数 
据 库 文件 的 文件 特征 说 明 部 分 和 字段 说 明 部 分 。 

(3) 如 果 用 户 要 复制 数据 库 文件 , 则 在 关闭 数据 库 文件 时 ,进行 相应 的 设置 。 

数据 库 文件 加 密实 现 过 程 如 图 6-4 所 示 。 


计算 机 硬件 信息 (如 网 卡 地 址 ) 用 户 输入 密码 
先 合成 密 钥 ， 然 后 采用 对 称 加 密 算 法 解密 


数据 库 文件 头 的 密 文 一 -| 数据 库 文件 头 的 明文 | 
图 6-4 数据 库 文件 加 密实 现 过 程 




















6.4.4 应 用 服务 器 安全 策略 


应 用 服务 器 包括 很 多 种 ,这 里 简要 描述 FTP 服务 器 和 主机 Telnet 服务 的 安全 策略 。 

1. FTP 的 安全 策略 

FTP 被 广泛 应 用 ,在 Internet 迅猛 发 展 的 形势 下 ,安全 问题 日 益 突 出 ,解决 的 主要 方 
法 和 手段 有 以 下 几 个 方面 。 

(1) 对 于 反弹 攻击 进行 有 效 防 范 。 最 简单 的 方法 就 是 封 住 漏洞 ,服务 器 最 好 不 要 建 
立 TCP 端口 号 在 1024 以 下 的 连接 ;另外 ,禁止 使 用 PORT 命令 也 是 一 个 可 选 的 防范 反 
弹 攻 击 的 方案 。 

(2) 进行 限制 访问 。 在 建立 连接 前 ,双方 需要 同时 认证 远 端 主机 的 控制 连接 、 数 据 连 
接 的 网 络 地 址 是 否 可 信 。 

(3) 进行 密码 保护 。 服 务 器 限制 尝试 输入 正确 口令 的 次 数 , 当 出 现 几 次 尝试 失败 时 ， 
服务 器 应 关闭 和 客户 的 控制 连接 ;另外 ,服务 器 可 以 限制 控制 连接 的 最 大 数目 ,或 探查 会 
话 中 的 可 疑 行为 并 在 以 后 拒绝 该 站 点 的 连接 请 求 。 

(4) 防范 端口 盗用 。 使 用 操作 系统 无 关 的 方法 随机 分 配 端口 号 ,让 攻击 者 无 法 预测 。 

2. Telnet 服务 的 安全 策略 

Telnet 是 一 个 非常 有 用 的 服务 。 可 以 使 用 Telnet 登录 一 个 开启 了 该 服务 的 主机 来 
执行 一 些 命令 ,便于 进行 远程 工作 或 维护 。Telnet 本 身 存在 很 多 安全 问题 ,如 传输 明文 ， 
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缺乏 强力 认证 过 程 ,没有 完整 性 检查 以 及 传输 的 数据 没有 经 过 加 密 。 解 决 的 策略 是 替换 
在 传输 过 程 中 使 用 明文 的 传统 Telnet 软件 ,使 用 SSLTelnet 或 SSH 等 对 数据 加 密 传输 
的 软件 。 


6.5 病毒 防护 策略 


计算 机 病毒 可 以 在 很 短 的 时 间 内 感染 整个 计算 机 或 网 络 系统 ,甚至 使 整个 系统 瘫痪 ， 
从 而 带 来 无 法 正常 工作 的 后 果 。 计 算 机 病毒 有 很 多 种 ,如 蠕虫 病毒 、 宏 病毒 等 。 每 种 计算 
机 病毒 都 会 对 计算 机 系统 带 来 重大 的 损害 。 要 避免 受到 病毒 程序 的 干扰 ,除了 应 用 有 效 
的 杀毒 软件 以 外 ,制定 相应 的 病毒 防护 策略 也 是 保障 系统 安全 运行 的 重要 途径 。 


6.5.1 病毒 防护 策略 具备 的 准则 


病毒 防护 策略 需要 具备 下 列 准则 : 
拒绝 访问 能 力 ; 

。 病毒 检测 能 力 ; 

。 控制 病毒 传播 的 能 力 ， 

。 清除 病毒 能 力 ; 

。 数 据 恢复 能 力 。 


6.5.2 ”建立 病毒 防护 体系 


目前 的 反 病 毒 机 制 已 经 趋 于 成 熟 ,但 仍 需 要 建立 多 层 防 护 来 保护 核心 网 络 ,尤其 是 要 
防止 病毒 通过 电子 邮件 等 媒介 进行 传播 。 而 且 , 还 必须 在 安全 操作 中 心 实现 起 全 面 的 监 
控 功 能 和 事件 反应 功能 。 

1. 网 络 的 保护 

反 病 毒 策略 的 一 个 重要 目标 就 是 在 病毒 进入 受 保护 的 网 络 之 前 就 挡住 它 。90% 以 上 
的 新 病毒 是 通过 电子 邮件 传播 的 ,因此 电子 邮件 是 反 病 毒 首要 关注 的 重点 。 建 议 在 电子 
邮件 网 关 处 使 用 不 同 的 反 病 毒 检 查 引擎 以 增加 安全 性 。 

各 类 杀毒 软件 对 新 病毒 的 反应 速度 不 同 ,病毒 扫描 程序 通常 会 漏 掉 1% 一 3%% 的 病 
毒 。 在 不 同 的 层 上 采用 不 同 的 保护 提供 了 多 层 的 反 病 毒 防护 。 如 果 电 子 邮件 漏 掉 了 一 个 
病毒 或 者 对 新 病毒 做 出 的 反应 迟缓 ,桌面 电脑 病毒 扫描 还 有 机 会 发 现 它 ,反之 亦 然 。 对 于 
电子 邮件 网 关 的 要 求 和 电子 邮件 安全 要 求 正 在 日 趋 相 同 ,这 样 供应 商 提供 了 全 面 的 电子 
邮件 安全 ,包括 防火 墙 ` 人 侵 检 测 .拒绝 服务 攻击 保护 ` 反 病毒 ,内容 检 查 .关键 字 过 滤 、. 垃 
圾 邮件 过 滤 和 电子 邮件 加 密 。 任 何 电子 邮件 反 病 毒 策略 中 两 项 至 关 紧 要 的 功能 就 是 根据 
关键 字 进 行内 容 过 滤 ,以 及 对 于 附件 进行 过 滤 ( 这 项 功能 使 用 户 可 以 在 一 个 新 病毒 发 作 的 
早期 ,在 病毒 还 没有 被 清楚 定义 出 来 之 前 就 对 该 病毒 进行 隔离 ) 。 

2. 建立 分 层 的 防护 

虽然 90 站 以 上 的 用 户 都 采用 了 反 病 毒 软件 ,但 还 是 有 很 多 遭 到 了 病毒 攻击 并 造成 了 
相应 的 经 济 损失 。 新 病毒 利用 多 种 安全 漏洞 ,并 且 通 过 多 种 方式 攻击 系统 。 安 全 部 门 必 
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须 把 多 种 安全 组 件 和 策略 整合 起 来 进行 全 方位 的 防护 ,并 推荐 使 用 多 种 类 、 多 层次 的 反 病 
毒 机 制 。 制 定 出 涵盖 范围 全 面 的 反 病毒 策略 ,例如 ,防火 墙 \. 入 侵 检测 、 电 子 邮 件 过 滤 、 漏 
洞 评估 和 反 病 毒 等 。 

3. 发 展 趋势 
建立 一 个 全 面 综合 的 安全 管理 控制 平台 是 发 展 趋势 。 使 用 户 能 够 建立 多 领域 的 防护 
来 抵挡 即将 出 现 的 更 多 的 恶性 病毒 攻击 ,并 在 今后 建立 起 跨 领 域 的 安全 策略 。 但 是 ,目前 
控制 平台 技术 本 身 还 不 够 成 熟 ,并 且 相 互 之 间 的 支持 还 很 缺乏 。 


6.5.3 建立 病毒 保护 类 型 


建立 完整 的 病毒 保护 程序 需要 三 类 策略 声明 : 第 一 类 声明 所 需 的 病毒 监视 和 测试 的 
类 型 ;第 二 类 声明 是 系统 完整 性 审查 , 它 有 助 于 验证 病毒 保护 程序 的 效果 ;最 后 一 类 声明 
的 是 对 分 布 式 可 移动 媒介 的 病毒 审查 。 

1. 病毒 测试 

应 该 在 每 个 互联 网 系统 上 安装 和 配置 杀毒 软件 ,并 根据 管理 员 的 规定 提供 不 间断 的 
病毒 扫描 和 定期 更 新 。 

2. 系统 完整 性 检查 

系统 完整 性 检查 可 以 用 多 种 方式 来 实施 。 最 常见 的 是 保存 一 份 系统 文件 的 清单 ,并 
在 每 次 系统 启动 的 时 候 扫描 这 些 文件 以 发 现 问题 。 还 可 以 使 用 系统 工具 来 审查 系统 的 全 
体 配置 和 文件 .文件 系统 、 公 共 区 二 进 制 文件 的 完整 性 。 


6.5.4 ”病毒 防护 策略 要 求 


1. 对 病毒 防护 的 要 求 

(1) 策略 必须 声明 对 病毒 防护 的 要 求 ,并 说 明 它 只 用 于 病毒 防护 。 

(2) 策略 必须 声明 用 户 应 该 使 用 得 到 同意 的 病毒 保护 工具 ,并 且 不 应 该 取消 该 功能 。 

2. 对 建立 病毒 保护 类 型 的 要 求 

(1) 病毒 防护 策略 应 该 反映 出 使 用 的 防护 方案 的 类 型 ,但 不 需要 反映 出 具体 使 用 什 
么 产品 。 

(2) 病毒 防护 策略 应 该 公开 说 明 使 用 的 扫描 类 型 。 

(3) 在 建立 病毒 保护 程序 时 ,策略 应 该 包括 病毒 测试 的 方法 、 系 统 安全 性 审查 。 

3. 对 牵涉 到 病毒 的 用 户 的 要 求 

(1) 策略 应 该 声明 用 户 不 能 牵涉 到 病毒 。 

(2) 为 增加 策略 的 震慑 力 , 可 酌情 添加 一 条 声明 ,指出 违反 者 可 能 会 被 解雇 和 诉 诸 
法 律 。 




















6.6 安全 教育 策略 


安全 教育 是 指 对 所 有 人 员 进 行 安全 培训 ,培训 内 容 包括 所 有 其 他 技术 安全 策略 所 涉 
及 的 操作 规范 与 技术 知识 。 通 过 适当 地 安全 培训 ,会 使 包括 信息 系统 的 管理 人 员 与 所 有 
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的 系统 最 终 用 户 都 能 充分 理解 到 信息 系统 安全 的 重要 性 ,并 且 对 于 日 常 的 安全 规范 操作 
也 会 逐渐 形成 自 定 的 模式 。 

1. 安全 教育 

安全 意识 和 相关 各 类 安全 技能 的 教育 是 安全 管理 中 重要 的 内 容 ,其 实施 力度 将 直接 
关系 到 安全 策略 被 理解 的 程度 和 被 执行 的 效果 。 

在 安全 教育 具体 实施 过 程 中 ,应 该 有 一 定 的 层次 性 且 安 全 教育 应 该 定期 、 持 续 地 
进行 。 

(1) 主管 信息 安全 工作 的 各 级 管理 人 员 , 其 培训 重点 是 了 解 掌握 企业 信息 安全 的 整 
体 策略 及 目标 、 信 息 安全 体系 的 构成 .安全 管理 部 门 团队 的 建立 和 管理 制度 的 制定 等 。 

(2) 负责 信息 安全 运行 管理 及 维护 的 技术 人 员 ,其 培训 重点 是 充分 理解 信息 安全 管 
理 策 略 ,掌握 安全 评估 的 基本 方法 ,对 安全 操作 和 维护 技术 的 合理 运用 等 。 

(3) 普通 用 户 ,其 培训 重点 是 学 习 各 种 安全 操作 流程 ,了 解 和 掌握 与 其 相关 的 安全 策 
略 知识 ,包括 自身 应 该 承担 的 安全 职责 等 。 

2. 安全 教育 策略 的 机 制 

通常 来 讲 , 安 全 问题 经 常 来 源 于 系统 最 终 用 户 和 系统 管理 员 的 工 八 忽 。 政 忽 有 可 
能 造成 系统 被 病毒 侵犯 或 遭 到 攻击 。 

管理 阶层 往往 通过 创建 并 执行 一 套 全 面 的 IT 安全 策略 来 规范 用 户 的 行为 ,这 样 就 
可 以 减少 甚至 消除 一 些 错误 带 来 的 风险 。 然 后 通过 对 最 终 用 户 进 行 教育 ,使 他 们 知道 怎 
样 消除 安全 隐患 。 运 用 这 些 安全 策略 ,在 一 定 程度 上 就 会 防止 出 现 安全 漏洞 的 情况 。 

一 套 好 的 安全 策略 应 该 包括 最 终 用 户 和 系统 管理 员 两 个 方面 。 在 最 终 用 户 方面 , 策 
略 应 该 清楚 地 规定 用 户 可 以 利用 计算 机 设备 和 应 用 软件 做 什么 ,并 且 要 在 安全 教育 策略 
中 说 明 。 在 策略 中 应 该 包括 以 下 内 容 。 

(1) 数据 和 应 用 所 有 权 。 帮 助 用 户 们 理解 他 们 能 够 使 用 哪些 应 用 和 数据 ,而 哪些 应 
用 和 数据 是 他 们 可 以 和 其 他 人 共享 的 。 

(2) 硬件 的 使 用 。 加 强 企业 内 正在 执行 的 指导 方针 ,规定 对 于 工作 站 、 笔 记 本 电脑 和 
手持 式 设备 的 正确 操作 。 

(3) 互联 网 的 使 用 。 明 确 互 联网 .用 户 组 、 即 时 信息 和 电子 邮件 的 正确 使 用 方式 。 

从 系统 管理 员 的 角度 ,应 该 使 用 包括 以 下 内 容 的 基于 策略 的 规则 来 加 固 最 终 用 户 
策略 : 

(1) 账号 管理 。 规 定 可 以 被 接受 的 密码 配置 ,以 及 规定 在 需要 的 时 候 , 系 统管 理 员 如 
何 切断 某 个 特定 用 户 的 使 用 权限 。 

(2) 补丁 管理 。 规 定 对 发 布 补丁 消息 的 正确 反应 ,以 及 规定 如 何 进 行 补丁 监控 和 定 
期 维护 。 

(3) 事件 报告 制度 。 不 是 所 有 的 紧急 事件 都 是 同样 重要 ,所 以 策略 里 必须 包括 一 个 
计划 ,规定 每 个 紧急 事件 应 该 通报 哪些 人 。 

策略 制定 完成 之 后 ,还 必须 随 着 网 络 .操作 系统 、 软 件 配置 以 及 用 户 的 增加 和 减少 而 
及 时 更 新 。 对 于 安全 教育 策略 ,应 该 随时 因 整 体 策 略 的 调整 而 调整 。 
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本 章 小 结 


本 章 首先 讲述 了 信息 安全 策略 的 基本 概念 ,并 对 信息 安全 策略 的 规划 和 实施 的 有 关 
问题 进行 一 些 讨论 ;接着 具体 前 述 了 环境 安全 策略 .系统 安全 策略 病毒 防护 安全 策略 等 
相关 内 容 ; 最 后 介绍 了 安全 教育 策略 。 


~ Dam mn 


习 题 


.信息 安全 策略 是 什么 ? 它 有 何 特点 ? 

. 如 何 进行 信息 安全 策略 的 规划 与 实施 ? 

. 信息 安全 策略 使 用 哪些 主要 技术 ? 

. 什么 是 环境 安全 策略 ? 环境 安全 策略 包括 哪些 方面 的 内 容 ? 
. 系统 安全 策略 的 目标 是 什么 ?包括 哪些 内 容 ? 

. 病毒 防护 策略 的 功能 有 哪些 ?有 什么 要 求 ? 

. 什么 是 安全 教育 策略 ? 


信息 安全 等 级 保护 


学 习 目 标 

。 了 解 信息 安全 等 级 的 划分 及 特征 ; 

。 知道 等 级 保护 在 信息 安全 工程 的 实施 ; 
。 了 解 信息 安全 系统 等 级 确定 方法 。 


实施 信息 安全 等 级 保护 ,能 够 有 效 地 提高 我 国信 息 和 信息 系统 安全 建设 的 整体 水 平 ， 
有 利于 在 信息 化 建设 过 程 中 同步 建设 信息 安全 设施 ,保障 信息 安全 与 信息 化 建设 相 协 调 ; 
有 利于 为 信息 系统 安全 建设 和 管理 提供 系统 性 、 针 对 性 、 可 行 性 的 指导 和 服务 ,有 效 控制 
信息 安全 建设 成 本 ;有 利于 优化 信息 安全 资源 的 配置 ,对 信息 系统 分 级 实施 保护 ,重点 保 
障 基 础 信息 网 络 和 关系 国家 安全 、 经 济 命脉 ,社会 稳定 等 方面 的 重要 信息 系统 的 安全 。 


7.1 等 级 保护 概述 


7.1.1 信息 安全 等 级 保护 制度 的 原则 


信息 安全 等 级 保护 是 对 信息 和 信息 载体 按照 重要 性 等 级 分 级 别 进行 保护 的 一 种 工 
作 , 是 在 中 国 、 美 国 等 很 多 国家 都 存在 的 一 种 信息 安全 领域 的 工作 。 在 中 国 , 信 息 安全 等 
级 保护 广义 上 为 涉及 该 工作 的 标准 、 产 品 、 系 统 、 信 息 等 均 依 据 等 级 保护 思想 的 安全 工作 ; 
狭义 上 一 般 指 信息 系统 安全 等 级 保护 ,是 指 对 国家 安全 、 法 人 和 其 他 组 织 及 公民 的 专 有 信 
息 以 及 公开 信息 和 存储 \ 传 输 、 处 理 这 些 信息 的 信息 系统 分 等 级 实行 安全 保护 ,对 信息 系 
统 中 使 用 的 信息 安全 产品 实行 按 等 级 管理 ,对 信息 系统 中 发 生 的 信息 安全 事件 分 等 级 响 
应 \ 处 置 的 综合 性 工作 。 

(1) 明确 责任 ,共同 保护 。 通 过 等 级 保护 ,组 织 和 动员 国家 、 法 人 和 其 他 组 织 、 公 民 共 
同 参 与 信息 安全 保护 工作 ;各 方 主体 按照 规范 和 标准 分 别 承 担 相应 的 、 明 确 具体 的 信息 安 
全 保护 责任 。 

(2) 依照 标准 ,自行 保护 。 国 家 运用 强制 性 的 规范 及 标准 ,要 求 信息 和 信息 系统 按 昭 
相应 的 建设 和 管理 要 求 ,自行 定 级 .自行 保护 。 

(3) 同步 建设 ,动态 调整 。 信 息 系 统 在 新 建 、 改 建 、 扩 建 时 应 当 同步 建设 信息 安全 设 
施 , 保 障 信息 安全 与 信息 化 建设 相 适 应 。 因 信息 和 信息 系统 的 应 用 类 型 .范围 等 条 件 的 变 
化 及 其 他 原因 安全 保护 等 级 需要 变更 的 ,应 当 根据 等 级 保护 的 管理 规范 和 技术 标准 的 要 
求 ,重新 确定 信息 系统 的 安全 保护 等 级 。 等 级 保护 的 管理 规范 和 技术 标准 应 按照 等 级 保 
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护 工作 开展 的 实际 情况 适时 修订 。 

(4) 指导 监督 ,重点 保护 。 国 家 指定 信息 安全 监管 职能 部 门 通 过 备案 ,指导 ,检查 、 督 
促 整 改 等 方式 ,对 重要 信息 和 信息 系统 的 信息 安全 保护 工作 进行 指导 监督 。 国 家 重点 保 
护 涉及 国家 安全 ,经 济 命脉 社会 稳定 的 基础 信息 网 络 和 重要 信息 系统 ,主要 包括 : 国家 
事务 处 理 信息 系统 ,财政 .金融 税务 海关、 审计 工商 ,社会 保障 、 能 源 、 交 通 运输 、 国 防 工 
业 等 关系 到 国计民生 的 信息 系统 ;教育 .国家 科研 等 单位 的 信息 系统 ,公用 通信 广播 电视 
传输 等 基础 信息 网 络 中 的 信息 系统 ,网 络 管理 中 心 .重要 网 站 中 的 重要 信息 系统 和 其 他 领 
域 的 重要 信息 系统 。 


7.1.2 信息 安全 等 级 保护 的 工作 内 容 


信息 安全 等 级 保护 工作 包括 定 级 备案 .安全 建设 和 整改 .信息 安全 等 级 测评 、 信 息 安 
全 检查 五 个 阶段 ,作为 公安 部 授权 的 第 三 方 测评 机 构 ,为 企 事 业 单 位 提供 专业 的 信息 安全 
等 级 测评 咨询 服务 。 

信息 系统 安全 等 级 测评 是 验证 信息 系统 是 否 满足 相应 安全 保护 等 级 的 评估 过 程 。 信 
息 安 全 等 级 保护 要 求 不 同安 全 等 级 的 信息 系统 应 具有 不 同 的 安全 保护 能 力 ,一 方面 通过 
在 安全 技术 和 安全 管理 上 选用 与 安全 等 级 相 适 应 的 安全 控制 来 实现 ; 另 一 方面 ,分 布 在 信 
息 系统 中 的 安全 技术 和 安全 管理 上 不 同 的 安全 控制 ,通过 连接 、 交 互 ,依赖 ,协调 ,协同 等 
相互 关联 关系 ,共同 作用 于 信息 系统 的 安全 功能 ,使 信息 系统 的 整体 安全 功能 与 信息 系统 
的 结构 以 及 安全 控制 间 、 层 面 间 和 区 域 间 的 相互 关联 关系 密切 相关 。 因 此 ,信息 系统 安全 
等 级 测评 在 安全 控制 测评 的 基础 上 ,还 要 包括 系统 整体 测评 。 


7.1.3 信息 安全 等 级 保护 的 划分 及 特征 


信息 安全 等 级 保护 是 指 对 国家 秘密 信息 ,法 人 和 其 他 组 织 及 公民 的 专 有 信息 以 及 公 
开 信息 和 存储 ,传输 , 处 理 这 些 信息 的 信息 系统 分 等 级 实行 安全 保护 ,对 信息 系统 中 使 
的 信息 安全 产品 实行 按 等 级 管理 ,对 信息 系统 中 发 生 的 信息 安全 事件 分 等 级 响应 .处 置 。 

GB17859 把 计算 机 信息 系统 的 安全 保护 能 力 划分 的 五 个 等 级 是 : 用 户 自主 保护 级 、 
系统 审计 保护 级 、 安 全 标记 保护 级 结构 化 保护 级 和 访问 验证 保护 级 。 这 五 个 级 别 的 安全 
强度 自 低 到 高 排列 , 且 高 一 级 包括 低 一 级 的 安全 能 力 。 

第 一 级 为 用 户 自主 保护 级 ,适用 于 一 般 的 信息 和 信息 系统 ,其 受到 破坏 后 ,会 对 公民 、 
法 人 和 其 他 组 织 的 权益 有 一 定 影响 ,但 不 危害 国家 安全 、 社 会 秩序 经济 建 设 和 公共 利益 。 

本 级 的 主要 特征 是 用 户 具有 自主 安全 保护 能 力 。 访 问 控制 机 制 允 许 命名 用 户 以 用 户 
或 用 户 组 的 身份 规定 并 控制 客体 的 共享 ,能 阻止 非 授权 用 户 读 取 敏感 信息 。 可 信 计 算 基 
在 初始 执行 时 需要 鉴别 用 户 的 身份 ,不 允许 无 权 用 户 访问 用 户 身份 鉴别 信息 。 该 安全 级 
通过 自主 完整 性 策略 ,阻止 无 权 用 户 修 改 或 破坏 敏感 信息 。 

所 谓 可 信 计 算 基 ,是 指 计 算 机 系统 内 保护 装置 的 总 体 , 是 实现 访问 控制 策略 的 所 有 硬 
件 、 固 件 和 软件 的 集合 体 。 可 信 计 算 基 具 有 以 下 性 质 : 能 控制 主体 集合 对 客体 集合 的 每 
一 次 访问 ,是 抗 自 改 的 和 足够 小 的 ,便于 分 析 、 测 试 与 验证 。 

第 二 级 为 系统 审计 保护 级 ,适用 于 一 定 程度 上 涉及 国家 安全 ,社会 秩序 、 经 济 建设 和 
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公共 利益 的 一 般 信息 和 信息 系统 ,其 受到 破坏 后 ,会 对 国家 安全 、 社 会 秩序 ,经济 建设 和 公 
共 利 益 造 成 一 定 损害 。 

本 级 的 主要 特征 是 本 级 也 属于 自主 访问 控制 级 ,但 和 系统 自主 保护 级 相 比 ,可 信 计 算 
基 实 施 粒度 更 细 的 自主 访问 控制 ,控制 粒度 可 达 单 个 用 户 级 ,能 够 控制 访问 权限 的 扩散 ， 
没有 访问 权 的 用 户 只 能 由 有 权 用 户 指 定 对 客体 的 访问 权 。 身 份 鉴别 功能 通过 每 个 用 户 唯 
一 标识 监控 用 户 的 每 个 行为 ,并 能 对 这 些 行为 进行 审计 。 增 加 了 客体 重用 和 审计 功能 是 
本 级 的 主要 特色 。 审 计 功 能 要 求 可 信 计 算 基 能 够 记录 ,对 身份 鉴别 机 制 的 使 用 ,将 客体 引 
和 人 用户 地 址 空间 ;客体 的 删除 ,操作 员 、 系 统管 理 员 或 系统 安全 管理 员 实施 的 动作 以 及 其 
他 与 系统 安全 有 关 的 事件 。 

第 三 级 为 安全 标记 保护 级 ,适用 于 涉及 国家 安全 、 社 会 秩序 经 济 建设 和 公共 利益 的 
信息 和 信息 系统 ,其 受到 破坏 后 ,会 对 国家 安全 ,社会 秩序 经 济 建设 和 公共 利益 造成 较 大 
损害 。 

本 级 的 主要 特征 是 本 级 在 提供 系统 审计 保护 级 的 所 有 功能 的 基础 上 ,提供 基本 的 强 
制 访问 功能 。 可 信 计 算 基 能 够 维护 每 个 主体 及 其 控制 的 存储 客体 的 敏感 标记 ,也 可 以 要 
求 授 权 用 户 确 定 无 标记 数据 的 安全 级 别 。 这 些 标记 是 等 级 分 类 与 非 等 级 类 别 的 集合 ,是 
实施 强制 访问 控制 的 依据 。 可 信 计 算 基 可 以 支持 对 多 种 安全 级 别 ( 如 军用 安全 级 别 可 划 
分 为 绝密 、 机 密 、 秘 密 、 无 密 四 个 安全 级 别 ) 的 访问 控制 ,强制 访问 控制 规则 如 下 : 仅 当 主 
体 安全 级 别 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 
级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 时 ,主体 才能 对 客体 有 读 权 ; 仅 当主 体 安全 
级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包 
含 于 客体 安全 级 中 的 非 等 级 类 别 时 ,主体 才能 对 客体 有 写 权 。 

可 信 计 算 基 维 护 用 户 身份 识别 数据 ,确定 用 户 的 访问 权 及 授权 数据 ,并 且 使 用 这 些 数 
据 鉴别 用 户 的 身份 。 审 计 功 能 除 保持 上 一 级 的 要 求 外 ,还 要 求 记录 客体 的 安全 级 别 , 可 信 
计算 基 还 具有 审计 可 读 输 出 记号 是 否 发 生 更 改 的 能 力 。 对 数据 完整 性 的 要 求 则 增加 了 在 
网 络 环境 中 使 用 完整 性 敏感 标记 来 确保 信息 在 传输 过 程 中 未 受 损 。 

本 级 要 求 提供 有 关 安 全 策略 的 模型 .主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ,没有 
对 多 级 安全 形式 化 模型 的 要 求 。 

第 四 级 为 结构 化 保护 级 ,适用 于 涉及 国家 安全 、 社 会 秩序 、 经 济 建设 和 公共 利益 的 重 
要 信息 和 信息 系统 ,其 受到 破坏 后 ,会 对 国家 安全 、 社 会 秩序 ,经济 建 设 和 公共 利益 造成 严 

本 级 可 信 计 算 基 建立 在 明确 定义 的 形式 化 安全 策略 模型 之 上 , 它 要 求 将 自主 和 强制 
访问 控制 扩展 到 所 有 主体 与 客体 。 要 求 系统 开发 者 应 该 彻底 搜索 隐蔽 存储 信道 ,标识 出 
这 些 信 道 和 它们 的 带宽 。 本 级 最 主要 的 特点 是 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 
非 关 键 保 护 元 素 。 可 信 计 算 基 的 接口 要 求 是 明确 定义 的 ,使 其 实现 能 得 到 充分 的 测试 和 
全 面 的 复审 。 结 构 化 保护 级 加 强 了 鉴别 机 制 , 支 持 系 统管 理 员 和 操作 员 的 职能 ,提供 可 信 
设施 管理 ,增强 了 系统 配置 管理 控制 系统 具有 较 强 的 抗 渗透 能 力 。 

强制 访问 控制 的 能 力 更 强 ,可 信 计 算 基 可 以 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 
资源 (如 主体 .存储 客体 和 输入 /输出 资源 ?都 实行 强制 访问 控制 。 关 于 访问 客体 的 主体 的 
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范围 有 所 扩大 ,结构 化 保护 级 则 规定 可 信 计 算 基 外 部 的 所 有 主体 对 客体 的 直接 或 间接 访 
问 都 应 该 满足 上 一 级 规定 的 访问 条 件 。 而 安全 标记 保护 级 则 仅 要 求 那些 受 可 信 计 算 基 控 
制 的 主体 对 客体 的 访问 受到 访问 权限 的 限制 , 且 没 有 指明 间接 访问 也 应 受到 限制 。 要求 
对 间接 访问 也 要 进行 控制 ,意味 着 可 信 计 算 基 必须 具有 信息 流 分 析 能 力 。 

为 了 实施 更 强 的 强制 访问 控制 ,结构 化 保护 级 要 求 可 信 计 算 基 维护 与 可 被 外 部 主体 
直接 或 间接 访问 到 的 计算 机 系统 资源 (如 主体 、 存 储 客体 、 只 读 存 储 器 等 ) 相 关 的 敏感 标 
记 。 结 构 化 保护 级 还 显 式 地 增加 了 隐蔽 信道 分 析 和 可 信和 路 径 的 要 求 。 可 信和 路径 的 要 求 如 
下 : 可 信 计 算 基 在 它 与 用 户 之 间 提 供 可 信 通 信 路 径 , 供 对 用 户 的 初始 登录 和 鉴别 ,上 且 规定 
该 路 径 上 的 通信 只 能 由 使 用 它 的 用 户 初始 化 。 对 于 审计 功能 ,本 级 要 求 可 信 计 算 基 能 够 
审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

第 五 级 为 访问 验证 保护 级 ,适用 于 涉及 国家 安全 ,社会 秩序 .经济 建设 和 公共 利益 的 
重要 信息 和 信息 系统 的 核心 子 系统 ,其 受到 破坏 后 ,会 对 国家 安全 、 社 会 秩序 .经 济 建设 和 
公共 利益 造成 特别 严重 的 损害 。 

对 于 实现 的 自主 访问 控制 功能 ,访问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 
组 ,并 规定 它们 对 客体 的 访问 模式 。 对 于 强制 访问 控制 功能 的 要 求 与 上 一 级 别 的 要 求 相 
同 。 对 于 审计 功能 ,要 求 可 信 计 算 基 包括 可 以 审计 安全 事件 的 发 生 与 积累 机 制 , 当 超过 一 
定 冰 值 时 ,能够 立即 向 安全 管理 员 发 出 警报 ,并 且 能 以 最 小 代价 终止 这 些 与 安全 相关 的 事 
件 继续 发 生 或 积累 。 


7.2 等 级 保护 在 信息 安全 工程 中 的 实施 


确定 安全 需求 后 ,新 建 和 改建 系统 就 进入 了 实施 前 的 设计 过 程 。 以 往 的 安全 保障 体 
系 设计 是 没有 等 级 概念 的 ,主要 是 依据 本 单位 业务 特点 ,结合 其 他 行业 或 单位 实施 安全 保 
护 的 实践 经 验 而 提出 的 。 当 引入 等 级 保护 的 概念 后 ,系统 安全 防护 设计 思路 会 有 所 不 同 : 
。 由 于 确定 了 单位 内 部 代表 不 同业 务 类 型 的 若干 个 信息 系统 的 安全 保护 等 级 ,在 设 
计 思 路 上 应 突出 对 等 级 较 高 的 信息 系统 的 重点 保护 。 
。 安全 设计 应 保证 不 同 保护 等 级 的 信息 系统 能 满足 相应 等 级 的 保护 要 求 。 满 足 等 
级 保护 要 求 不 意味 着 各 信息 系统 独立 实施 保护 ,而 应 本 着 优化 资源 配置 的 原则 合 
理 布 局 ,构建 纵深 防御 体系 。 
。 划分 了 不 同等 级 的 系统 ,就 存在 如 何 解决 等 级 系统 之 间 的 互联 问题 ,因此 必须 在 
总 体 安全 设计 中 规定 相应 的 安全 策略 。 


7.2.1 新 建 系统 的 安全 等 级 保护 规划 与 建设 


1. 总 体 安全 设计 方法 

总 体 安全 设计 并 非 安 全 等 级 保护 实施 过 程 中 必须 执行 的 过 程 ,对 于 规模 较 小 ,构成 内 
容 简单 的 信息 系统 ,在 通过 安全 需求 分 析 确 定 了 其 安全 需求 后 ,都 可 以 直接 进入 安全 详细 
设计 。 对 于 有 一 定 规模 的 信息 系统 实施 总 体 安全 设计 过 程 。 可 以 按 以 下 步骤 实施 。 

1) 局 域 网 内 部 抽象 处 理 
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一 个 局 域 网 可 能 由 多 个 不 同等 级 系统 构成 ,无 论 局 域 网 内 部 等 级 系统 有 多 少 ,都 可 以 
将 等 级 相同 、 安 全 需求 类 相同 、 安 全 策略 一 致 的 系统 合并 为 一 个 安全 域 .并 将 其 抽象 为 一 
个 模型 要 素 ,可 将 之 称 为 某 级 安全 域 。 通过 抽象 处 理 后 ,局域网 模型 可 能 是 由 多 个 级 别 的 
安全 域 互 联 构 成 的 模型 。 

2) 局 域 网 内 部 安全 域 之 间 互 联 的 抽象 处 理 

根据 局 域 网 内 部 的 业务 流程 数据 交换 要 求 、 用 户 访问 要 求 等 确定 不 同 级别 安 全 域 之 
间 的 网 络 连接 要 求 , 从 而 对 安全 域 边界 提出 安全 策略 要 求 和 安全 措施 要 求 ,以 实现 对 安全 
域 边界 的 安全 保护 。 

如 果 任 意 两 个 不 同 级 别 的 子 系统 之 间 有 业务 流程 数据 交换 要 求 , 用 户 访问 要 求 等 需 
要 , 则 认为 两 个 模型 要 素 之 间 有 连接 。 通 过 分 析 和 抽象 处 理 后 ,局 域 网 内 部 安全 域 之 间 互 
联 模型 如 图 7-1 所 示 。 

3) 局 域 网 之 间 安 全 域 互 联 的 抽象 处 理 

根据 局 域 网 之 间 的 业务 流程 .数据 交换 要 求 .用 户 访问 要 求 等 确定 局 域 网 之 间 通 过 骨 
干 网 / 城 域 网 分 隔 的 同 级 或 不 同 级 别 安全 域 之 间 的 网 络 连接 要 求 。 

例如 ,任意 两 个 级 别 的 安全 域 之 间 有 业务 流程 .数据 交换 要 求 、 用 户 访问 要 求 等 的 需 
要 , 则 认为 两 个 局 域 网 的 安全 域 之 间 有 连接 。 通 过 分 析 和 抽象 处 理 后 ,局 域 网 之 间 安 全 域 


互联 模型 如 图 7-2 所 示 。 
有 全) 又 和 访 


单 向 推送 
























































图 7-1 局 域 网 内 部 安全 域 之 间 互联 模型 图 7-2 局 域 网 之 间 安全 域 互 联 模型 





4) 局 域 网 安全 域 与 外 部 单位 互联 的 抽象 处 理 

对 于 与 国际 互联 网 或 外 部 机 构 / 单 位 有 连接 或 数据 交换 的 信息 系统 ,需要 分 析 这 种 网 
络 的 连接 要 求 , 并 进行 模型 化 处 理 。 例 如 ,任意 一 个 级 别 的 安全 域 , 如 果 这 个 安全 域 与 外 
部 机 构 /单位 或 国际 互联 网 之 间 有 业务 访问 .数据 交换 等 的 需要 , 则 认为 这 个 级 别 的 安全 
域 与 外 部 机 构 / 单 位 或 国际 互联 网 之 间 有 连接 。 通 过 分 析 和 抽象 处 理 后 ,局 域 网 安全 域 与 
外 部 机 构 / 单 位 或 国际 互联 网 之 间 互 联 模 型 如 图 7-3 所 示 。 
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图 7-3 局 域 网 安全 域 与 外 部 机 构 / 单 位 或 国际 互联 网 之 间 互 联 模型 


5) 安全 域内 部 抽象 处 理 


局 域 网 中 不 同 级 别 的 安全 域 的 规模 和 复杂 程度 可 能 不 同 , 但 是 每 个 级 别 安全 域 的 构 
成 要 素 基本 一 致 , 即 由 服务 器 .工作 站 和 连接 它们 的 网 络 设 备 构成 。 为 了 便于 分 析 和 处 
理 , 将 安全 域内 部 抽象 为 服务 器 设备 (包括 存储 设备 )`. 工 作 站 设备 和 网 络 设备 这 些 要素 ， 
通过 对 安全 域内 部 的 模型 化 处 理 后 ,对 每 个 安全 域内 部 的 关注 点 将 放 在 服务 器 设备 .工作 


站 设备 和 网 络 设备 上 ,通过 对 不 同 级 别 安全 域 中 的 服务 
器 设备 .工作 站 设备 和 网 络 设备 提出 安全 策略 要 求 和 安 
全 措施 要 求 ,实现 安全 域内 部 的 安全 保护 。 通 过 抽象 处 
理 后 ,每 个 安全 域 模型 如 图 7-4 所 示 。 

6) 形成 信息 系统 抽象 模型 

通过 对 信息 系统 的 分 析 和 抽象 处 理 ,最 终 形成 被 分 
析 的 信息 系统 的 抽象 模型 。 信 息 系统 抽象 模型 的 表达 应 
包括 以 下 内 容 : 单位 的 不 同 局 域 网 络 如 何 通过 骨干 网 、 








网 络 设备 








服务 器 设备 








工作 站 设备 

















图 7-4 安全 域 模型 


城 域 网 互联 ,每 个 局 域 网 内 最 多 包含 几 个 不 同 级 别 的 安全 域 , 局 域 网 内 部 不 同 级 别 的 安全 
域 之 间 如 何 连接 ,不 同 局 域 网 之 间 的 安全 域 之 间 如 何 连 接 , 局 域 网 内 部 安全 域 是 否 与 外 部 





机 构 / 单 位 或 国际 互联 网 有 互联 ,等 等 。 
7) 制定 总 体 安全 策略 


最 重要 的 是 制定 安全 域 互 联 策略 ,通过 限制 多 点 外 联 、 统 一 出 口 , 既 可 以 达到 保护 重 


点 ,优化 配置 的 目的 ,也 体现 了 纵深 防御 的 策略 思想 。 
8) 关于 等 级 边界 进行 安全 控制 的 规定 


针对 信息 系统 等 级 化 抽象 模型 ,根据 机 构 总 体 安全 策略 ,等 级 保护 基本 要 求 和 系统 的 
特殊 安全 需求 ,提出 不 同 级 别 安全 域 边界 的 安全 保护 策略 和 安全 技术 措施 。 

安全 域 边界 安全 保护 策略 和 安全 技术 措施 提出 时 要 考虑 边界 设备 共享 的 情况 ,如 果 
不 同 级 别 的 安全 域 通过 同一 设备 进行 边界 保护 , 则 这 个 边界 设备 的 安全 保护 策略 和 安全 


技术 措施 要 满足 最 高 级 安全 域 的 等 级 保护 要 求 。 
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9) 关于 各 安全 域内 部 的 安全 控制 要 求 

针对 信息 系统 等 级 化 抽象 模型 ,根据 机 构 总 体 安全 策略 、 等 级 保护 基本 要 求 和 系统 的 
特殊 安全 需求 ,提出 不 同 级别 安 全 域内 部 网 络 平台 、 系 统 平台 和 业务 应 用 的 安全 保护 策略 
和 安全 技术 措施 。 

10) 关于 等 级 安全 域 的 管理 策略 

从 全 局 角度 出 发 ,提出 单位 的 总 体 安全 管理 框架 和 总 体 安全 管理 策略 ,对 每 个 等 级 安 
全 域 提出 各 自 的 安全 管理 策略 ,安全 域 管理 策略 继承 单位 的 总 体 安全 策略 。 

2. 总 体 安全 设计 方案 大 纲 

最 后 形成 的 总 体 方案 大 岗 包括 以 下 内 容 : 信息 系统 概述 .单位 信息 系统 安全 保护 等 
级 状况 ,各 等 级 信息 系统 的 安全 需求 .信息 系统 的 安全 等 级 保护 模型 抽象 ,总体 安 全 策略 、 
信息 系统 的 边界 安全 防护 策略 \ 信 息 系 统 的 等 级 安全 域 防护 策略 ,信息 系统 安全 管理 与 安 
全 保障 策略 。 

3. 设计 实施 方案 

实施 方案 不 同 于 设计 方案 ,实施 方案 需要 根据 阶段 性 的 建设 目标 和 建设 内 容 将 信息 
系统 安全 总 体 设计 方案 中 要 求实 现 的 安全 策略 、 安 全 技术 体系 结构 ,安全 措施 落实 到 产品 
功能 或 物理 形态 上 ,提出 能 够 实现 的 产品 或 组 件 及 其 具体 规范 ,并 将 产品 功能 特征 整理 成 
文档 ,使 得 在 信息 安全 产品 采购 和 安全 控制 开发 阶段 具有 依据 。 实 施 方案 过 程 如 下 。 

1) 结构 框架 设计 

依据 实施 项 目的 建设 内 容 和 信息 系统 的 实际 情况 ,给 出 与 总 体 安全 规划 阶段 的 安全 
体系 结构 一 致 的 安全 实现 技术 框架 ,内 容 包括 安全 防护 的 层次 .信息 安全 产品 的 选择 和 使 
用 、 等 级 系统 安全 域 的 划分 、IP 地 址 规划 等 。 

2) 功能 要 求 设计 

对 安全 实现 技术 框架 中 使 用 到 的 相关 信息 安全 产品 ,如 防火 墙 `VPN、 网 闸 ` 认 证 网 
关 、 代 理 服务 器 .网 络 防 病毒 .PKI 等 提出 功能 指标 要 求 , 对 需要 开发 的 安全 控制 组 件 提出 
功能 指标 要 求 。 

3) 性 能 要 求 设计 

对 安全 实现 技术 框架 中 使 用 到 的 相关 信息 安全 产品 ,如 防火 墙 `VPN、 网 闸 、 认 证 网 
关 , 代 理 服 务 器 、 网 络 防 病毒 .PKI 等 提出 性 能 指标 要 求 ,对 需要 开发 的 安全 控制 组 件 提出 
性 能 指标 要 求 。 

4) 部 署 方案 设计 

结合 信息 系统 网 络 拓扑 ,以 图 示 的 方式 给 出 安全 技术 实现 框架 的 实现 方式 ,包括 信息 
安全 产品 或 安全 组 件 的 部 署 位 置 .连接 方式 IP 地 址 分 配 等 ,对 于 需要 对 原 有 网 络 进 行 调 
整 的 情况 应 给 出 网 络 调整 的 图 示 方 案 等 。 

5) 制定 安全 策略 实现 计划 

依据 信息 系统 安全 总 体 方案 中 提出 的 安全 策略 要 求 , 制 定 设 计 和 设置 信息 安全 产品 
或 安全 组 件 的 安全 策略 实现 计划 。 

6) 管理 措施 实现 内 容 设计 

结合 系统 实际 安全 管理 需要 和 本 次 技术 建设 内 容 , 确 定 本 次 安全 管理 建设 的 范围 和 
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内 容 ,同时 注意 与 信息 系统 安全 总 体 方案 的 一 致 性 。 安 全 管理 设计 的 内 容 主要 考虑 : 安 
全 管理 机 构 和 人 员 的 配套 、 安 全 管理 制度 的 配套 .人 员 安 全 管理 技能 的 配套 等 。 

7) 形成 系统 建设 的 安全 实施 方案 

最 后 形成 的 系统 建设 的 安全 实施 方案 应 包含 以 下 内 容 : 系统 建设 目标 和 建设 内 容 、 
技术 实现 框架 .信息 安全 产品 或 组 件 功能 及 性 能 、 信 息 安 全 产品 或 组 件 部 署 ,安全 策略 和 
配置 ,配套 的 安全 管理 建设 内 容 , 工 程 实施 计 划 ,项 目 投资 概算 。 


7.2.2 系统 改建 实施 方案 设计 


与 等 级 保护 工作 相关 的 大 部 分 系统 是 已 建成 并 投入 运行 的 系统 ,信息 系统 的 安全 建 
设 也 已 完成 ,因此 信息 系统 的 运营 使 用 单位 更 关心 如 何 找 出 现 有 安全 防护 与 相应 等 级 基 
本 要 求 的 差距 ,如 何 根据 差距 分 析 来 设计 系统 的 改建 方案 ,使 其 能 够 指导 该 系统 后 期 具体 
的 改建 工作 ,逐步 达到 相应 等 级 系统 的 保护 能 力 。 

1. 确定 系统 改建 的 安全 需求 

(1) 根据 信息 系统 的 安全 保护 等 级 ,参照 前 述 的 安全 需求 分 析 方 法 ,确定 本 系统 总 的 
安全 需求 ,包括 经 过 调整 的 等 级 保护 基本 要 求 和 本 单位 的 特殊 安全 需求 。 

(2) 由 信息 系统 的 运营 使 用 单位 自己 组 织 人 员 或 由 第 三 方 评估 机 构 采 用 等 级 测评 方 
法 ,对 信息 系统 安全 保护 现状 与 等 级 保护 基本 要 求 进行 符合 性 评估 ,得 到 与 相应 等 级 要 求 
的 差距 项 。 

(3) 针对 满足 特殊 安全 需求 (包括 采用 高 等 级 的 控制 措施 和 采用 其 他 标准 的 要 求 ) 的 
安全 措施 进行 符合 性 评估 ,得 到 与 满足 特殊 安全 需求 的 差距 项 。 

2. 差距 原因 分 析 

差距 项 不 一 定 都 会 作为 改建 的 安全 需求 ,因为 存在 差距 的 原因 可 能 有 多 种 。 

1) 整体 安全 设计 不 足 

某 些 差 距 项 的 不 满足 是 由 于 该 系统 在 整体 的 安全 策略 (包括 技术 策略 和 管理 策略 ) 设 
计 上 存在 问题 。 例 如 ,网 络 结构 设计 不 合理 ,各 网 络 设备 在 位 置 的 部 署 上 存在 问题 ,导致 
某 些 网 络 安全 要 求 没 有 正确 实现 ;信息 安全 的 管理 策略 方向 性 不 明确 ,导致 一 些 管 理 要 求 
没有 实现 。 

2) 缺乏 相应 产品 实现 安全 控制 要 求 

由 于 安全 保护 要 求 都 是 要 落 在 具体 产品 ` 组 件 的 安全 功能 上 ,通过 对 产品 的 正确 选择 
和 部 署 满足 相应 要 求 。 但 在 实际 中 ,有 些 安全 要 求 在 系统 中 并 没有 落 在 具体 的 产品 上 。 
产生 这 种 情况 的 原因 是 多 方面 的 ,其 中 技术 制约 可 能 是 最 主要 的 原因 。 例 如 ,强制 访问 控 
制 , 目 前 在 主流 操作 系统 和 数据 库 系统 上 并 没有 得 到 很 好 的 实现 。 

3) 产品 没有 得 到 正确 配置 

某 些 安 全 要 求 虽然 能 够 在 具体 的 产品 组 件 上 实现 ,但 使 用 者 由 于 技术 能 力 ,安全 意识 
的 原因 ,或 出 于 对 系统 运行 性 能 影响 的 考虑 等 原因 ,产品 没有 得 到 正确 的 配置 ,从 而 使 其 
相关 安全 功能 没有 得 到 发 挥 。 例 如 ,登录 口令 复杂 度 检测 没有 启用 、 操 作 系统 的 审计 功能 
没有 启用 等 就 是 经 常 出 现 的 情况 。 

以 上 情况 的 分 析 ,只 是 系统 在 等 级 安全 保护 上 出 现 差距 的 主要 原因 ,不 同系 统 有 其 个 
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性 特点 ,产生 差距 的 原因 也 不 尽 相 同 。 

3. 分 类 处 理 的 改建 措施 

针对 差距 出 现 的 种 种 原因 ,分 析 如 何 采取 措施 来 弥补 差距 。 差 距 产生 的 原因 不 同 , 采 
用 的 整改 措施 也 不 同 。 首 先 可 对 改建 措施 进行 分 类 考虑 ,针对 上 述 三 种 情况 主要 可 从 以 
下 几 方 面 进行 : 

(1) 针对 整体 安全 设计 不 足 的 情况 ,系统 须 重新 考虑 设计 网 络 拓扑 结构 ,包括 安全 产 
品 或 安全 组 件 的 部 署 位 置 . 连 线 方式 .IP 地 址 分 配 等 。 针 对 安全 管理 方面 的 整体 策略 问 
题 ,机 构 须 重新 定位 安全 管理 策略 .方针 ,明确 机 构 的 信息 安全 管理 工作 方向 。 

(2) 针对 缺乏 相应 产品 实现 安全 控制 要 求 的 情况 ,将 未 实现 的 安全 技术 要 求 转化 为 
相关 安全 产品 的 功能 /性 能 指标 要 求 ,在 适当 的 物理 /逻辑 位 置 对 安全 产品 进行 部 署 。 

(3) 针对 产品 没有 得 到 正确 配置 的 情况 ,正确 配置 产品 的 相关 功能 ,使 其 发 挥 作 用 。 

无 论 是 哪 种 情况 ,改建 措施 的 实现 都 需要 将 具体 的 安全 要 求 落 到 实处 ,也 就 是 说 ,应 
确定 在 哪些 系统 组 件 上 实现 相应 等 级 安全 要 求 的 安全 功能 。 

4. 形成 改建 措施 

针对 不 同 的 改建 措施 类 别 ,进一步 予以 细 化 ,形成 具体 的 改建 方案 ,包括 各 种 产品 的 
具体 部 署 .配置 等 ,最 终 形成 整改 设计 方案 。 整 改 设计 方案 的 基本 组 成 为 : 系统 存在 的 安 
全 问题 (差距 项 ) 描 述 .差距 产生 原因 分 析 、 系 统 整 改 措施 分 类 处 理 原 则 和 方法 .整改 措施 
详细 设计 和 整改 投资 估算 。 


7.3 等 级 保护 标准 的 确定 


7.3.1 确定 信息 系统 安全 保护 等 级 的 一 般 流 


信息 系统 安全 等 级 应 从 业务 信息 安全 角度 反映 的 业务 信息 安全 保护 等 级 和 从 系统 服 
务 安全 角度 反映 的 系统 服务 安全 保护 等 级 两 方面 确定 。 

确定 信息 系统 安全 保护 等 级 的 一 般 流程 如 下 ( 见 图 7-5): 

。 确定 作为 定 级 对 象 的 信息 系统 ; 

。 确定 业务 信息 安全 受到 破坏 时 所 侵害 的 客体 ; 

。 根据 不 同 的 受 侵害 客体 ,从 多 个 方面 综合 评定 业务 信息 安全 被 破坏 对 客体 的 侵害 
程度 ; 
依据 业务 信息 安全 保护 等 级 矩阵 表 , 得 到 业务 信息 安全 保护 等 级 ; 
确定 系统 服务 安全 受到 破坏 时 所 侵害 的 客体 ; 
根据 不 同 的 受 侵害 客体 ,从 多 个 方面 综合 评定 系统 服务 安全 被 破坏 对 客体 的 侵害 
程度 ; 
依据 系统 服务 安全 保护 等 级 矩阵 表 , 得 到 系统 服务 安全 保护 等 级 ; 
将 业务 信息 安全 保护 等 级 和 系统 服务 安全 保护 等 级 的 较 高 者 确定 为 定 级 对 象 的 
安全 保护 等 级 。 
定 级 对 象 受 到 破坏 时 所 侵害 的 客体 包括 国家 安全 ,社会 秩序 和 公众 利益 以 及 公民 .法 
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1. 确定 定 级 对 象 


ES 


2. 确定 业务 信息 安全 受到 破坏 5. 确定 系统 服务 安全 受到 破坏 时 
时 所 侵害 的 客体 所 侵害 的 客体 


| | 


3. 综 合 评定 对 客体 的 侵害 程度 6. 综合 评定 对 客体 的 侵害 程度 


| | 


4. 业务 信息 安全 等 级 7. 系统 服务 安全 等 级 


De 


| 8. 定 级 对 象 的 安全 保护 等 级 





















































图 7-5 确定 等 级 一 般 流程 


人 和 其 他 组 织 的 合法 权益 。 对 客体 造成 损害 后 ,可 能 产生 以 下 危害 后 果 : 

。 影响 行使 工作 职能 ; 
导致 业务 能 力 下降 ; 
引起 法 律 纠 纷 ; 
。 导致 财产 损失 ; 
。 造成 社会 不 良 影响 ; 
对 其 他 组 织 和 个 人 造成 损失 ; 

。 其 他 影响 。 

对 客体 的 侵害 程度 是 客观 方面 的 不 同 外 在 表现 的 综合 体现 ,因此 ,应 首先 根据 不 同 的 
受 侵害 客体 ,不 同 危害 后 果 分 别 确定 其 危害 程度 。 不 同 危害 后 果 的 三 种 危害 程度 描述 
如 下 : 

一 般 损害 : 工作 职能 受到 局 部 影响 ,业务 能 力 有 所 降低 但 不 影响 主要 功能 的 执行 ,出 
现 较 轻 的 法 律 问题 、 较 低 的 财产 损失 ,有限 的 社会 不 良 影响 ,对 其 他 组 织 和 个 人 造成 较 低 
损害 。 

严重 损害 : 工作 职能 受到 严重 影响 ,业务 能 力 显 著 下 降 且 严重 影响 主要 功能 执行 ,出 
现 较 严重 的 法 律 问题 . 较 高 的 财产 损失 、 较 大 范围 的 社会 不 良 影响 ,对 其 他 组 织 和 个 人 造 
成 较 严 重 损害 。 

特别 严重 损害 : 工作 职能 受到 特别 严重 影响 或 表 失 行使 能 力 , 业 务 能 力 严重 下 降 且 
功能 无 法 执行 ,出 现 极其 严重 的 法 律 问题 \ 极 高 的 财产 损失 、 大 范围 的 社会 不 良 影响 ,对 其 
他 组 织 和 个 人 造成 非常 严重 损害 。 

十 大 重要 标准 : 

。 计算 机 信息 系统 安全 等 级 保护 划分 准则 (GB 17859 一 1999)( 基 础 类 标准 ) 

。 信息 系统 安全 等 级 保护 实施 指南 (GB/T 25058 一 2010) (基础 类 标准 ) 


Ve/ 信息 安全 工程 


。 信息 系统 安全 保护 等 级 定 级 指南 (GB/T 22240 一 2008) (应 用 类 定 级 标准 ) 

。 信息 系统 安全 等 级 保护 基本 要 求 (GB/T 22239 一 2008) (应 用 类 建设 标准 ) 

。 信息 系统 通用 安全 技术 要 求 (GB/T 20271 一 2006)( 应 用 类 建设 标准 ) 

。 信息 系统 等 级 保护 安全 设计 技术 要 求 (GB/T 25070 一 2010)( 应 用 类 建设 标准 ) 
。 信息 系统 安全 等 级 保护 测评 要 求 (GB/T 28448 一 2012) (应 用 类 测评 标准 ) 

。 信息 系统 安全 等 级 保护 测评 过 程 指南 (GB/T 28449 一 2012)( 应 用 类 测评 标准 ) 
信息 系统 安全 管理 要 求 (GB/T 20269 一 2006)( 应 用 类 管理 标准 ) 

。 信息 系统 安全 工程 管理 要 求 (GB/T 20282 一 2006)( 应 用 类 管理 标准 ) 

其 他 相关 标准 : 

GB/T 21052 一 2007 信息 安全 技术 信息 系统 物理 安全 技术 要 求 

GB/T 20270 一 2006 信息 安全 技术 网 络 基础 安全 技术 要 求 

GB/T 20271 一 2006 信息 安全 技术 信息 系统 通用 安全 技术 要 求 

GB/T 20272 一 2006 信息 安全 技术 操作 系统 安全 技术 要 求 

GB/T 20273 一 2006 信息 安全 技术 数据 库 管 理 系 统 安全 技术 要 求 

GB/T 20984 一 2007 信息 安全 技术 信息 安全 风险 评估 规范 

GB/T 20985 一 2007 信息 安全 技术 信息 安全 事件 管理 指南 

GB/Z 20986 一 2007 信息 安全 技术 信息 安全 事件 分 类 分 级 指南 

GB/T 20988 一 2007 信息 安全 技术 信息 系统 灾难 恢复 规范 


7.3.2 信息 系统 安全 等 级 的 定 级 方法 


根据 标准 中 提出 的 定 级 流程 信息 系统 破坏 后 可 能 损害 的 客体 和 对 客体 的 损害 程度 ， 
可 以 使 用 一 套 定 级 工作 表 ,通过 对 工作 表 中 各 项 要 素 进行 量化 评分 的 方式 ,客观 .科学 地 
确定 信息 系统 安全 保护 等 级 ,达到 提高 效率 .节省 人 力 、 准 确定 级 的 目的 。 

表 7-1 一 表 7-3 是 根据 (信息 安全 技术 信息 系统 安全 等 级 保护 定 级 指南 ) 的 要 求 ,分别 
针对 定 级 对 象 受到 破坏 时 所 侵害 的 国家 安全 ,社会 秩序 和 公众 利益 ,公民 、 法 人 和 其 他 组 
织 的 合法 权益 这 三 类 客体 进行 量化 评分 。 其 中 每 张 定 级 评分 表 的 纵向 标题 和 横向 标题 分 
别 依据 (信息 安全 技术 信息 系统 安全 等 级 保护 定 级 指南 ) 中 描述 的 信息 系统 遭 到 破坏 时 可 
能 损害 的 三 类 客体 以 及 描述 的 危害 后 果 所 设计 和 制订 。 定 级 评分 表 中 纵向 标题 表示 的 是 
系统 破坏 可 能 损害 的 客体 ,横向 标题 表示 的 是 对 客体 的 损害 后 果 。 

通过 这 套 定 级 工作 表 对 系统 破坏 后 客体 的 损害 程度 进行 量化 ,量化 的 方法 是 分 析 系 
统 业 务 情况 和 系统 服务 情况 ,确定 系统 破坏 后 损害 的 客体 及 外 在 表现 的 损害 后 果 , 并 在 相 
应 的 客体 和 损害 后 果 的 表格 交叉 点 处 对 客体 的 损害 程度 进行 等 级 评分 。 分 值 范围 为 
0 一 3: 

。 0 分 表示 对 该 表 中 描述 的 客体 没有 造成 损害 ; 

。 1 分 表示 对 该 表 中 描述 的 客体 造成 一 般 损害 ; 

。 2 分 表示 对 该 表 中 描述 的 客体 造成 严重 损害 ; 

。 3 分 表示 对 该 表 中 描述 的 客体 造成 特别 严重 损害 。 
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表 7-1 针对 所 侵害 的 国家 安全 受到 破坏 时 的 损害 的 后 果 













































损害 的 后 果 
系统 破坏 后 
损害 的 客体 影响 行使 [导致 业务 | 引起 法 | 导致 财 | 造成 社会 [对 其 他 组 织 和 [其 他 | 结 
工作 职能 | 能 力 下 降 | 律 纠纷 | 产 损失 | 不 良 影响 | 个 人 造成 损失 | 影响 | 论 
影响 国家 政权 稳固 和 国 
防 实力 
影响 国家 统一 、 民 族 团 
代 | 全 和 社会 安定 
时 | 影响 国家 对 外 活动 中 的 
家 | 政治 经 济 利益 
全 | 影响 国家 重要 的 安全 保 
意 | 卫 工作 
机 | 影响 国家 经 济 竞争 力 和 
科技 实力 
其 他 影响 国家 安全 的 
事项 
表 7-2 针对 所 侵害 的 社会 秩序 和 公众 利益 、 公 民 受 到 破坏 时 的 损害 的 后 果 
9 后 
系统 破坏 后 人 和 
损害 的 客体 影响 行使 [导致 业务 | 引起 法 [导致 财 [造成 社会 [对 其 他 组 织 和 [其 他 | 结 
工作 职能 | 能力 下 降 | 律 纠纷 | 产 损失 | 不 良 影响 | 个 人 造成 损失 | 影响 | 论 





影响 国家 机 关 社 会 管理 
和 公共 服务 的 工作 秩序 


影响 各 种 类 型 的 经 济 活 
动 秩序 





影响 各 行业 的 科研 \ 生 
产 秩序 





影响 公众 在 法 律 约束 和 
道德 规范 下 的 正常 生活 
秩序 等 





其 他 影响 社会 秩序 的 
事项 





影响 社会 成 员 使 用 公共 
设施 





影响 社会 成 员 获取 公开 
信息 资源 





影响 社会 成 员 接受 公共 


服务 等 方面 








其 他 影响 公共 利益 的 
事项 
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表 7-3 针对 所 侵害 的 法 人 和 其 他 组 织 受 到 破坏 时 的 损害 的 后 果 


损害 的 后 果 

系统 破坏 后 

损害 的 客体 影响 行使 | 导致 业务 | 引起 法 | 导致 财 | 造成 社会 [对 其 他 组 织 和 | 其 他 | 结 
工作 职能 | 能 力 下 降 | 律 纠纷 | 产 损失 | 不 良 影 响 | 个 人 造成 损失 | 影响 | 论 











影响 公民 、 法 人 和 其 他 组 织 
的 合法 权益 











在 对 客户 的 损害 程度 进行 等 级 评分 后 ,依据 以 下 评定 方法 对 表 中 的 分 值 情况 进行 综 
合 分 析 ,最 终 确 定量 化 分 值 : 

。 如 定 级 评分 表 中 的 分 数 均 为 0, 则 该 客体 的 损害 程度 为 0; 

。 如 定 级 评分 表 中 的 分 数 不 全 为 0, 且 最 高 分 的 数量 不 超过 30%, 则 以 该 最 高 分 为 
该 客体 的 损害 程度 (此 处 30% 的 阐 值 是 三 六 零 卫 士 根据 信息 安全 管理 经 验 提出 的 ， 
用 户 可 以 根据 实际 需求 调整 ,如 果 不 设 阔 值 则 为 国家 等 级 保护 标准 的 最 低 要 求 )， 
如 定 级 评分 表 中 的 分 数 不 全 为 0, 且 最 高 分 的 数量 超过 30%, 则 以 该 最 高 分 加 1 
为 该 客体 的 损害 程度 ,但 加 1 后 的 定 级 分 数 最 高 不 得 超过 3 分 (如 已 经 是 3 分 , 则 
分 值 定 为 3)。 

根据 上 述 定 级 方法 ,可 以 计算 出 系统 的 业务 信息 安全 受到 破坏 后 损害 的 客体 ,及 对 客 
体 的 损害 程度 ;采用 同样 的 方法 也 可 以 计算 出 系统 的 服务 安全 受到 破坏 后 损害 的 客体 ,及 
对 客体 的 损害 程度 。 

根据 业务 信息 安全 被 破坏 时 所 侵害 的 客体 以 及 对 相应 客体 的 侵害 程度 ,依据 业务 信 
息 安 全 保护 等 级 矩阵 表 ( 如 表 7-4 所 示 ) 即 可 得 到 业务 信息 安全 保护 等 级 。 





表 7-4 业务 信息 安全 保护 等 级 矩阵 表 






对 相应 客体 的 侵害 程度 
特别 严重 损害 









业务 信息 安全 被 破坏 时 所 侵害 的 客体 








公民 法 人 和 其 他 组 织 的 合法 权益 第 二 级 
社会 秩序 、 公 共 利益 第 四 级 





国家 安全 


根据 系统 服务 安全 被 破坏 时 所 侵害 的 客体 以 及 对 相应 客体 的 侵害 程度 ,依据 系统 服 
务 安全 保护 等 级 矩阵 表 ( 如 表 7-5 所 示 ), 即 可 得 到 系统 服务 安全 保护 等 级 。 


表 7-5 系统 服务 安全 保护 等 级 矩阵 表 








对 相应 客体 的 侵害 程度 











系统 服务 安全 被 破坏 时 所 侵害 的 客体 

严重 损害 | 。 特别 严重 损害 
公民 .法 人 和 其 他 组 织 的 合法 权益 第 = 级 ”| ”第 = 级 
社会 秩序 .公共 利益 第 = 级 。 | ”第 四 级 











国家 安全 第 四 级 第 五 级 
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根据 (信息 安全 技术 信息 系统 安全 等 级 保护 定 级 指南 ) 的 要 求 , 作 为 定 级 对 象 的 信息 
系统 的 安全 保护 等 级 由 业务 信息 安全 保护 等 级 和 系统 服务 安全 保护 等 级 的 较 高 者 决定 。 
这 样 就 可 以 最 终 确 定 信息 系统 的 安全 保护 等 级 。 


本 章 小 结 


本 章 在 介绍 信息 安全 等 级 保护 制度 的 原则 和 安全 等 级 划分 及 特征 的 基础 上 ,力图 说 
明 等 级 保护 在 新 建 信息 系统 的 安全 规划 改建 信息 系统 的 安全 方案 确定 中 如 何 处 理 信 息 
安全 工程 实施 。 为 此 分 别 介 绍 了 总 体 安全 设计 方法 、 设 计 实 施 方案 等 ,还 介绍 了 等 级 保护 
确定 的 一 般 流程 、 定 级 方法 。 


习 题 


1. 信息 安全 等 级 保护 制度 的 原则 有 哪些 ? 

2. GB17859 划分 的 计算 机 信息 系统 安全 保护 能 力 的 5 个 等 级 是 哪些 ? 各 自 的 特征 
有 哪些? 

3, 叙述 局 域 网 安全 域 与 外 部 单位 互联 的 安全 处 理 步骤 。 

4. 系统 改建 时 ,如 果 缺 少 相 应 安全 产品 实现 安全 控制 要 求 怎么 办 ? 


容 灾 备份 与 数据 恢复 


学 习 目 标 

。 了 解数 据 备份 的 基本 概念 和 术语 ; 
。 掌握 数据 备份 的 常用 方法 ; 

。 掌握 灾难 恢复 的 基本 概念 和 技术 。 


8.1 容 灾 备份 


容 灾 备 份 实际 上 是 两 个 概念 , 容 灾 是 为 了 在 遭遇 灾害 时 保证 信息 系统 能 正常 运行 , 帮 
助 企业 实现 业务 连续 性 的 目标 ,备份 是 为 了 应 对 灾难 来 临时 造成 的 数据 丢失 问题 。 在 容 
灾 备 份 一 体 化 产品 出 现 之 前 , 容 灾 系统 与 备份 系统 是 独立 的 。 容 灾 备 份 产品 的 最 终 目 标 
是 帮助 企业 应 对 人 为 误 操作 软件 错误 和 病毒 入侵 等 “ 软 " 性 灾害 以 及 硬件 故障 、 自 然 灾害 
等 * 硬 "性 灾害 。 


8.1.1 容 灾 备份 概念 与 分 类 


容 灾 备份 系统 是 指 在 相隔 较 远 的 异地 ,建立 两 套 或 多 套 功能 相同 的 IT 系统 ,互相 之 
间 可 以 进行 健康 状态 监视 和 功能 切换 , 当 一 处 系统 因 意 外 (如 火灾 、 地 震 等 ) 停 止 工作 时 ， 
整个 应 用 系统 可 以 切换 到 另 一 处 ,使 得 该 系统 功能 可 以 继续 正常 工作 。 容 灾 技 术 是 系统 
的 高 可 用 性 技术 的 一 个 组 成 部 分 , 容 灾 系 统 更 加 强调 处 理 外 界 环境 对 系统 的 影响 ,特别 是 
灾难 性 事件 对 整个 IT 节点 的 影响 ,提供 节点 级 别 的 系统 恢复 功能 。 

地 震 灾 难 频 发 ,因此 做 好 容 灾 备份 ,尤其 是 异地 容 灾 备份 是 十 分 必要 的 。 做 异地 容 灾 
备份 ,必须 保证 300km 之 外 ,同时 还 必须 做 到 “三 不 ”, 即 不 在 同一 地 震 带 ,不 在 同一 电网 、 
不 在 同一 江河 流域 。 

从 其 对 系统 的 保护 程度 来 分 ,可 以 将 容 灾 系统 分 为 数据 容 灾 和 应 用 容 灾 。 

数据 容 灾 就 是 指 建立 一 个 异地 的 数据 系统 ,该 系统 是 本 地 关键 应 用 数据 的 一 个 实时 
复制 ,一 个 可 用 复制 。 在 本 地 数据 及 整个 应 用 系统 出 现 灾难 时 ,系统 至 少 在 异地 保存 有 一 
份 可 用 的 关键 业务 的 数据 。 该 数据 可 以 是 本 地 生产 数据 的 完全 实时 复制 ,也 可 以 比 本 地 
数据 略微 落后 ,但 一 定 是 可 用 的 。 采 用 的 主要 技术 是 数据 备份 和 数据 复制 技术 。 数 据 容 
灾 技 术 , 又 称 为 异地 数据 复制 技术 ,按照 其 实现 的 技术 方式 ,主要 可 以 分 为 同步 传输 方式 
和 异步 传输 方式 (各 厂商 在 技术 用 语 上 可 能 有 所 不 同 ) ,另外 ,也 有 如 * 半 同步 ?这 样 的 方 
式 。 半 同步 传输 方式 基本 与 同步 传输 方式 相同 ,只 是 在 读 占 IO 比重 比较 大 时 ,相对 同 
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步 传输 方式 ,可 以 略微 提高 IO 的 速度 。 而 根据 容 灾 的 距离 ,数据 容 灾 又 可 以 分 成 远程 
数据 容 灾 和 近 程 数据 容 灾 方 式 。 下 面 主要 按 同步 传输 方式 和 异步 传输 方式 对 数据 容 灾 展 
开 讨 论 , 也 会 涉及 远程 容 灾 和 近 程 容 灾 的 概念 ,并 做 相应 的 分 析 。 

所 谓 应 用 容 灾 ,是 在 数据 容 灾 的 基础 上 ,在 异地 建立 一 套 完整 的 与 本 地 生产 系统 相当 
的 备份 应 用 系统 (可 以 是 互 为 备份 ) ,在 灾难 情况 下 ,远程 系统 迅速 接管 业务 运行 。 数 据 容 
灾 是 抵御 灾难 的 保障 ,而 应 用 容 灾 则 是 容 灾 系统 建设 的 目标 。 建 立 这 样 一 个 系统 是 相对 
比较 复杂 的 ,不仅 需要 一 份 可 用 的 数据 复制 ,还 要 有 了 网络、 主机 、 应 用 、 甚 至 IP 等 资源 ,并 
保证 各 资源 之 间 的 良好 协调 。 主 要 技术 包括 负载 均衡 和 集群 技术 。 数 据 容 灾 是 应 用 容 灾 
的 基础 ,应 用 容 灾 是 数据 容 灾 的 目标 。 在 选择 容 灾 系 统 的 构造 时 ,还 要 建立 多 层次 的 广 域 
网 络 故障 切换 机 制 。 本 地 的 高 可 用 系统 指 在 多 个 服务 器 运行 一 个 或 多 种 应 用 的 情况 下 ， 
应 确保 任意 服务 器 出 现任 何故 障 时 ,其 运行 的 应 用 不 能 中 断 , 应 用 程序 和 系统 应 能 迅速 切 
换 到 其 他 服务 器 上 运行 , 即 本 地 系统 集群 和 热 备 份 。 在 远程 的 容 灾 系 统 中 ,要 实现 完整 的 
应 用 容 灾 , 既 要 包含 本 地 系统 的 安全 机 制 、. 远 程 的 数据 复制 机 制 , 还 应 具有 广域网 范围 的 
远程 故障 切换 能 力 和 故障 诊断 能 力 。 也 就 是 说 ,一 旦 故障 发 生 , 系 统 要 有 强大 的 故障 诊断 
和 切换 策略 制定 机 制 ,确保 快速 的 反应 和 迅速 的 业务 接管 。 实 际 上 ,广域网 范围 的 高 可 用 
能 力 与 本 地 系统 的 高 可 用 能 力 应 形成 一 个 整体 ,实现 多 级 的 故障 切换 和 恢复 机 制 , 确 保 系 
统 在 各 个 范围 的 可 靠 和 安全 。 

集群 系统 是 在 元 余 的 可 用 性 系统 基础 之 上 ,运行 高 可 靠 性 软件 而 构成 。 高 可 靠 性 软 
件 用 于 自动 检测 系统 的 运行 状态 ,在 一 台 服 务 器 出 现 故 障 的 情况 下 ,自动 地 把 设 定 的 服务 
转 到 另 一 台 服 务 器 上 。 当 运行 服务 器 提供 的 服务 不 可 用 时 ,备份 服务 器 自动 接替 运行 服 
务 器 的 工作 而 不 用 重新 启动 系统 ,而 当 运行 服务 器 恢复 正常 后 ,按照 使 用 者 的 设 定 以 自动 
或 手动 方式 将 服务 切换 到 运行 服务 器 上 运行 。 备 份 服务 器 除了 在 运行 服务 器 出 现 故障 时 
接替 其 服务 ,还 可 以 执行 其 他 应 用 程序 。 因 此 ,一 台 性 能 配备 充分 的 主机 可 同时 作为 某 一 
服务 的 运行 服务 器 和 另 一 服务 的 备份 服务 器 , 即 两 台 服 务 器 互 为 备份 。 一 台 主机 可 以 运 
行 多 个 服务 ,也 可 作为 多 个 服务 的 备份 服务 器 。 

数据 容 灾 系统 对 于 IT 而 言 就 是 为 计算 机 信息 系统 提供 的 一 个 能 应 付 各 种 灾难 的 环 
境 。 当 计算 机 系统 在 遭受 如 火灾 \ 水 灾 、 地 震 、 战 争 等 不 可 抗拒 的 自然 灾难 以 及 计算 机 犯 
罪 \ 计 算 机 病毒 、 掉 电 、 网 络 / 通 信和 失败 、 硬 件 / 软 件 错误 和 人 为 操作 错误 等 人 为 灾难 时 , 容 
灾 系 统 将 保证 用 户 数据 的 安全 性 (数据 容 灾 ) ,一 个 更 加 完善 的 容 灾 系统 甚至 还 能 提供 不 
间断 的 应 用 服务 (应 用 容 灾 )。 可 以 说 , 容 灾 系统 是 数据 存储 备份 的 最 高 层次 。 

同城 备份 是 指 将 生产 中 心 的 数据 备份 在 本 地 的 容 灾 备份 机 房 中 , 它 的 特点 是 速度 相 
对 较 快 。 由 于 是 在 本 地 ,因此 建议 同时 做 接管 。 但 是 它 的 缺点 是 一 旦 发 生 大 灾 大 难 , 将 无 
法 保证 本 地 容 灾 备份 机 房 中 的 数据 和 系统 仍 可 用 。 

异地 备份 通过 互联 网 TCP/IP 协议 将 生产 中 心 的 数据 备份 到 异地 。 备 份 时 要 注意 
“一 个 三 ”和 “三 个 不 原则 ”, 必 须 备份 到 300km 以 外 ,并 且 不 能 在 同一 地 震 带 ,不 能 在 同 地 
电网 ,不 能 在 同一 江河 流域 。 这 样 即使 发 生 大 灾 大 难 , 也 可 以 在 异地 进行 数据 回 退 。 当 
然 , 异 地 备份 如 果 想 做 接管 需要 专线 连接 ,一 般 需 要 在 同一 网 段 内 才能 实现 业务 接管 。 

当然 ,最 好 是 能 够 建立 起 “两 地 三 中 心 ”的 模式 , 既 做 同城 备份 也 做 异地 备份 ,这 样 数 





Ne/ 信息 安全 工程 


据 的 安全 性 会 高 得 多 。 
8.1.2 ” 容 灾 备份 的 等 级 与 关键 技术 


设计 一 个 容 灾 备份 系统 ,需要 考虑 多 方面 的 因素 ,如 备份 /恢复 数据 量 大 小 、 应 用 数据 
中 心 和 备 援 数据 中 心 之 间 的 距离 和 数据 传输 方式 、 灾 难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中 
心 的 管理 及 投入 资金 等 。 根 据 这 些 因素 和 不 同 的 应 用 场合 ,通常 可 将 容 灾 备份 分 为 四 个 
等 级 。 

1) 第 0 级 : 没有 备 援 中 心 

这 一 级 容 灾 备份 ,实际 上 没有 灾难 恢复 能 力 , 它 只 在 本 地 进行 数据 备份 ,并 且 被 备份 
的 数据 只 在 本 地 保存 ,没有 送 往 异地 。 

2) 第 1 级 : 本 地 磁带 备份 ,异地 保存 

在 本 地 将 关键 数据 备份 ,然后 送 到 异地 保存 。 灾 难 发 生 后 , 按 预定 数据 恢复 程序 恢复 
系统 和 数据 。 这 种 方案 成 本 低 、 易 于 配置 。 但 当 数 据 量 增 大 时 ,存在 存储 介质 难 管理 的 问 
题 ,并 且 当 灾难 发 生 时 大 量 数据 难以 及 时 恢复 。 为 了 解决 此 问题 ,灾难 发 生 时 ,应 先 恢复 
关键 数据 ,后 恢复 非 关 键 数 据 。 

3) 第 2 级 : 热 备 份 站 点 备份 

在 异地 建立 一 个 热 备 份 点 ,通过 网 络 进行 数据 备份 。 也 就 是 通过 网 络 以 同步 或 异步 
方式 ,把 主 站 点 的 数据 备份 到 备份 站 点 ,备份 站 点 一 般 只 备份 数据 ,不 承担 业务 。 当 出 现 
灾难 时 ,备份 站 点 接替 主 站 点 的 业务 ,从 而 维护 业务 运行 的 连续 性 。 

4) 第 3 级 : 活动 备 援 中 心 

在 相隔 较 远 的 地 方 分 别 建立 两 个 数据 中 心 ,它们 都 处 于 工作 状态 ,并 进行 相互 数据 备 
份 。 当 某 个 数据 中 心 发 生 灾难 时 , 另 一 个 数据 中 心 接替 其 工作 任务 。 这 种 级 别 的 备份 根 
据 实际 要 求 和 投入 资金 的 多 少 ,又 可 分 为 两 种 : 四 两 个 数据 中 心 之 间 只 限于 关键 数据 的 
相互 备份 ;加 两 个 数据 中 心 之 间 互 为 镜像 , 即 零 数据 丢失 等 。 零 数据 丢失 是 目前 要 求 最 高 
的 一 种 容 灾 备份 方式 , 它 要 求 不 管 什么 灾难 发 生 , 系 统 都 能 保证 数据 的 安全 。 所 以 , 它 需 
要 配置 复杂 的 管理 软件 和 专用 的 硬件 设备 ,需要 的 投资 相对 而 言 是 最 大 的 ,但 恢复 速度 也 
是 最 快 的 。 

在 建立 容 灾 备 份 系统 时 会 涉及 多 种 技术 .如 存储 区 域 网 (Storage Area Network， 
SAN) 或 网 络 存 储 服务 器 (Network Attached Storage, NAS) 技 术 , 远 程 镜像 技术 、 基 于 IP 
的 SAN 的 互联 技术 和 快照 技术 等 。 这 里 重点 介绍 远程 镜像 ,快照 和 互联 技术 。 

1. 远程 镜像 技术 

远程 镜像 技术 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 多 
个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 ,一 个 叫 主 镜像 系统 ， 
另 一 个 叫 从 镜像 系统 。 按 主 从 镜像 存储 系统 所 处 的 位 置 ,可 分 为 本 地 镜像 和 远程 镜像 。 
远程 镜像 又 叫 远程 复制 ,是 容 灾 备 份 的 核心 技术 ,同时 也 是 保持 远程 数据 同步 和 实现 灾难 
恢复 的 基础 。 远 程 镜 像 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ,又 可 分 为 
同步 远程 镜像 和 异步 远程 镜像 。 同 步 远程 镜像 (同步 复制 技术 ) 是 指 通过 远程 镜像 软件 ， 
将 本 地 数据 以 完全 同步 的 方式 复制 到 异地 ,每 一 本 地 的 I/O 事务 均 须 等 待 远程 复制 的 完 
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成 确认 信息 才 了 予以 释放 。 同 步 镜 像 使 拷贝 总 能 与 本 地 主机 要 求 复制 的 内 容 相 匹配 。 当 主 
站 点 出 现 故障 时 ,用 户 的 应 用 程序 切换 到 备份 的 蔡 代 站 点 后 ,被 镜像 的 远程 副本 可 以 保证 
业务 继续 执行 而 数据 没有 丢失 。 但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ,只 限于 在 相对 
较 近 距离 的 应 用 。 蜡 步 远程 镜像 (异步 复制 技术 ) 保 证 在 更 新 远程 存储 视图 前 完成 向 本 地 
存储 系统 的 基本 操作 ,而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 VO 操作 完成 确认 信 
息 。 远 程 的 数据 复制 是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 , 传 
输 距离 长 (可 达 1000km 以 上 ) ,对 网 络 带宽 要 求 小 。 但 是 ,许多 远程 的 从 属 存储 子 系统 的 
写 操作 没有 得 到 确认 , 当 某 种 因素 造成 数据 传输 失败 时 ,可 能 出 现 数据 一 致 性 问题 。 为 了 
解决 这 个 问题 ,目前 大 多 采用 延迟 复制 的 技术 (本 地 数据 复制 均 在 后 台 日 志 区 进行 ), 即 在 
确保 本 地 数据 完好 无 损 后 进行 远程 数据 更 新 。 

2. 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 数据 备份 到 远 
程 存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 .光盘 库 中 。 
快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,建立 一 个 要 备份 数据 的 快照 逻 
辑 单元 号 LUN(Logical Unit Number) 和 快照 Cache。 在 快速 扫描 时 ,把 备份 过 程 中 即将 
要 修改 的 数据 块 同时 快速 拷贝 到 快照 Cache 中 。 快 照 LUN 是 一 组 指针 , 它 指 向 快照 
Cache 和 磁盘 子 系统 中 不 变 的 数据 块 ( 在 备份 过 程 中 )。 在 正常 业务 进行 的 同时 ,利用 快 
照 LUN 实现 对 原 数据 的 一 个 完全 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 ( 主 
要 指 容 灾 备 份 系统 ) ,实时 提取 当前 在 线 业务 数据 ,其 "备份 窗口 ”接近 于 零 ,可 大 大 增加 系 
统 业 务 的 连续 性 ,为 实现 系统 真正 的 7X24 运转 提供 了 保证 。 快 照 是 通过 内 存 作 为 缓冲 
区 (快照 Cache) ,由 快照 软件 提供 系统 磁盘 存储 的 即时 数据 映像 则 它 存 在 缓冲 区 调度 的 
问题 。 

3. 互联 技术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN 的 远程 复制 
(镜像 ) , 即 通过 光纤 通道 FC 把 两 个 SAN 连接 起 来 进行 远程 镜像 (复制 )。 当 灾难 发 生 
时 ,由 备 援 数据 中 心 替 代 主 数据 中 心 保 证 系统 工作 的 连续 性 。 这 种 远程 容 灾 备 份 方式 存 
在 一 些 缺 陷 , 如 实现 成 本 高 ,设备 的 互 操作 性 差 ,跨越 的 地 理 距离 短 (10kmy) 等 ,这 些 因素 
阻碍 了 它 的 进一步 推广 和 应 用 。 目 前 ,出 现 了 多 种 基于 IP 的 SAN 远程 数据 容 灾 备份 技 
术 。 它 们 是 利用 基于 IP 的 SAN 互联 协议 ,将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 
TCP/IP 网 络 ,远程 复制 到 备 援 中 心 SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 时 ,可 利用 
快照 技术 将 其 备份 到 磁带 库 或 光盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备份 可 以 跨越 
LAN MAN 和 WAN, 成 本 低 、 可 扩展 性 好 ,具有 广阔 的 发 展 前 景 。 基 于 IP 的 互联 协议 包 
括 FCIP .iFCP .Infiniband 和 iSCSI 等 。 


8.1.3” 容 灾 备 份 的 技术 指标 与 应 用 


数据 恢复 点 目标 (Recovery Point Objective, RPO) 主 要 指 的 是 业务 系统 所 能 容忍 的 
数据 丢失 量 。 恢 复 时 间 目 标 (Recovery Time Objective, RTO) 主 要 指 的 是 所 能 容忍 的 业 
务 停止 服务 的 最 长 时 间 ,也 就 是 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 短 时 间 
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周期 。RPO 针对 的 是 数据 丢失 ,而 RTO 针对 的 是 服务 丢失 ,二 者 没有 必然 的 关联 性 。 
RTO 和 RPO 的 确定 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 根据 不 同 的 业务 需求 确定 。 
对 于 不 同 企业 的 同一 种 业务 .RTO 和 RPO 的 需求 也 会 有 所 不 同 。 

1. 介质 备份 

阶段 备份 : 可 将 备份 数据 划分 为 两 个 阶段 ,近期 的 备份 数据 保存 在 磁盘 介质 上 ,为 近 
线 备份 ;访问 频率 不 高 但 仍 具有 保留 价值 的 历史 备份 数据 保存 在 磁带 介质 上 ,为 离线 备 
份 。 备 份 存储 柜 可 通过 循环 备份 以 及 备份 数据 复制 到 磁带 设备 ,提供 双 份 备份 和 双重 
保护 。 

远程 容 灾 : 可 将 备份 数据 周期 性 地 保存 到 磁带 设备 上 ,然后 取出 磁带 介质 ,运输 到 异 
地 机 房 保管 ,实现 数据 的 远程 容 灾 ; 当 发 生 灾难 需要 远程 恢复 时 ,只 需 取 出 磁带 在 异地 直 
接 读 取 恢 复 。 

保护 遗留 资产 : 既 可 利用 备份 存储 柜 领先 的 磁盘 备份 方案 保护 数据 ,又 可 使 用 磁带 
介质 做 双重 保护 ,从 而 保护 已 有 投资 的 遗留 资产 。 

2. 集中 式 数据 级 备份 

采用 高 性 能 一体 化 和 节能 的 备份 设备 ,可 支持 异 构 平台 环境 的 集中 备份 和 恢复 管 
理 , 内 置 的 虚拟 介质 池 功 能 ,使 设备 具有 容量 与 处 理性 能 呈 线 性 增长 的 特性 ,可 满足 大 规 
模 的 备份 需求 。 

统一 保护 : 针对 Windows 服务 器 环境 、Linux 服务 器 环境 、UNIX 服务 器 环境 以 及 
PC 桌面 环境 ,可 提供 集中 统一 的 备份 和 恢复 管理 。 

全 面 保护 : 提供 操作 系统 、 应 用 系统 和 文件 数据 三 层 全 面 保护 ,应 用 系统 支持 SQL 
Server Oracle .Sybase、Exchange Server, Lotus Domino .DB2、 MySQL, Active Directory 
等 几乎 所 有 主流 应 用 ,无 论 是 数据 破坏 还 是 业务 系统 损坏 ,都 可 得 到 完整 地 恢复 。 

虽然 容 灾 备 份 一 直 备 受 企业 关注 ,但 是 根据 调查 显示 ,大 多 数 公司 并 没有 对 自己 的 企 
业 IT 做 好 充足 的 容 灾 准 备 。IDG 研究 服务 的 调查 结果 显示 ,42% 的 受 调查 企业 仍 没有 
部 署 现代 化 的 容 灾 恢 复 的 解决 方案 ,尽管 之 前 这 些 企业 遭受 过 数据 丢失 。 

这 些 企业 中 的 多 数 依然 依靠 无 效 的 手段 流程 和 磁带 进行 备份 。 不 过 这 种 备份 方式 正 
在 悄然 变化 。 大 多 数 受 访 者 预期 ,在 未 来 18 个 月 的 时 间 里 ,他 们 将 用 高 可 用 性 、 自 动 化 的 
系统 进行 数据 备份 。 这 项 调查 结果 也 出 乎 研究 者 的 预料 。 

在 本 次 调查 中 ,研究 者 还 惊讶 地 发 现 ,曾经 遭遇 过 数据 丢失 和 IT 中 断 的 公司 比率 很 
高 。 即 使 有 系统 故障 分 析 和 灾难 恢复 测试 ,但 是 很 多 公司 并 不 把 这 些 策略 作为 优先 项 目 
来 实施 。 这 项 调查 结果 也 说 明了 企业 必须 保持 警觉 ,部 署 消 除 意外 损失 的 自动 化 解决 方 
案 , 实 施 数据 保护 。 

调查 发 现 ,目前 磁带 备份 是 企业 最 普遍 的 数据 备份 解决 方案 .有 23% 的 大 型 企业 、 
48% 的 中 小 型 企业 和 27% 的 微型 企业 依靠 这 项 技术 来 进行 数据 保护 。 

75% 的 IT 管理 者 表示 ,在 他 们 的 灾难 恢复 计划 测试 中 ,82% 的 大 型 企业 平均 每 年 一 
次 完成 灾难 恢复 测试 。42% 的 受 访 者 表示 ,他 们 使 用 的 数据 可 以 承受 短 时 间 的 数据 中 断 ， 
而 停机 时 间 超 过 4 小 时 的 任何 中 断 是 他 们 不 能 接受 的 ,因为 IT 的 中 断 可 能 给 生产 力 带 来 
67% 损 失 ,其 中 包含 27% 的 声誉 损害 ,而 因数 据 丢 失 带 来 的 财务 损失 不 可 估量 。 
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因为 企业 IT 预算 的 减少 和 容 灾 恢复 观念 的 驱动 ,很 多 企业 把 数据 保护 和 容 灾 恢复 
当成 企业 数据 的 保险 。 当 今 的 数据 中 心 ,一 般 都 是 24 X7 的 不 间断 服务 。 受 美国 桑 迪克 
风 的 影响 ,很 多 企业 看 到 了 快速 的 数据 恢复 和 IT 服务 的 必要 性 , 随 着 越 来 越 多 地 企业 因 
为 采用 虚拟 化 的 磁带 备份 所 需 时 间 和 成 本 的 巨大 ,继而 转向 基于 磁盘 的 解决 方案 。 不 过 
专家 表示 ,通过 使 用 高 度 可 用 的 自动 化 技术 和 统一 的 灾难 恢复 测试 ,企业 可 以 放心 地 处 理 
可 能 出 现 的 任何 问题 。 

要 建设 优秀 的 容 灾 备份 系统 ,主要 有 以 下 三 种 模式 。 

1. 独立 自 建 

在 我 国 ,目前 独立 自 建 的 模式 主要 集中 于 银行 海关、 税务 等 灾 备 建设 需求 迫切 、 拥 有 
强大 经 济 实力 、 有 较 好 技术 支撑 的 行业 。 这 些 行业 的 独立 自 建 是 符合 其 行业 现状 的 ,他 们 
的 灾 备 建设 对 国家 经 济 的 健康 发 展 有 着 重要 意义 ,因此 对 于 这 些 行业 的 独立 建设 模式 国 
家 是 支持 的 。 

2. 联合 共 建 

可 采用 平行 或 者 垂直 的 共同 建设 ,所 谓 的 平行 ,可 以 是 一 个 行业 的 容 灾 备份 ,例如 医 
卫 行 业 ,教育 行业 ,联合 起 来 建设 行业 内 的 容 灾 中 心 。 以 城市 为 单位 ,相关 部 门 牵头 对 本 
市 乃至 本 省 内 的 数据 进行 垂直 集中 保护 。 如 陕西 省 就 是 政府 牵头 来 针对 全 省 的 电子 政务 
数据 进行 集中 备份 在 榆林 联合 共 建 了 灾 备 中 心 , 和 力 记 易 提 供 了 该 项 目 中 所 有 的 容 灾 备 
份 软件 (UPM 备 特 佳 容 灾 备 份 系统 ) ,完美 支持 了 政府 使 用 的 国产 操作 系统 和 数据 库 。 

3. 社会 化 服务 

社会 化 服务 就 是 将 行业 或 企业 的 灾难 备份 业务 交 由 第 三 方 ,由 专业 的 灾 备 服务 提供 
商 提供 支持 和 服务 。 由 于 灾 备 服务 提供 商 服 务 于 广泛 的 客户 群 ,因此 拥有 更 为 广泛 .专业 
的 技能 。 此 外 ,用 户 还 可 以 利用 服务 商 的 规模 经 营 降低 成 本 并 实现 资源 共享 。 因 此 , 相 比 
于 自 建 与 共 建 ,社会 化 服务 模式 具有 专业 化 程度 高 .成 本 投入 低 ,资源 共享 .服务 质量 高 的 
鲜明 优势 ,也 正 是 这 种 优势 赋予 了 社会 化 服务 “主流 趋势 "的 强大 生命 力 。 

以 灾 备 产业 发 展 较为 成 熟 的 美国 为 例 , 其 独立 自 建 、 联 合共 建 与 社会 化 服务 三 者 分 别 
占 灾 备 建设 的 29%、15% 和 56%, 从 数据 可 以 明显 看 出 社会 化 服务 所 占据 的 高 比例 。 社 
会 化 服务 正在 成 为 一 个 主流 的 趋势 。 

2007 年 7 月 ,中 国 《信息 系统 灾难 恢复 规范 ) 正 式 推 出 ,并 于 2007 年 11 月 开始 实施 ， 
这 是 中 国 灾难 备份 与 恢复 行业 的 第 一 个 国家 标准 。《 信 息 系 统 灾难 恢复 规范 ) 的 推出 。 指 
明了 信息 时 代 各 行业 进行 灾 备 建设 的 重要 性 ,同时 也 上 暗示 了 国内 灾 备 市 场 的 巨大 潜力 。 
如 今 , 国 内 灾 备 市 场 的 80% 被 国外 产品 占领 “棱镜 门 ” 的 曝光 重新 将 国人 的 目光 聚集 到 信 
息 安 全 领域 , 灾 备 行业 的 特殊 性 决定 了 我 们 必须 争取 自主 掌控 灾 备 市 场 , 广 道 容 灾 备份 系统 
的 出 现 ,展示 出 国产 灾 备 商 打 造 优 质 国产 灾 备 产品 、 通 过 自主 创新 增强 竞争 力 的 决心 。 


8.2 数据 恢复 


当 存 储 介质 出 现 损伤 或 由 于 人 员 误 操作 ,操作 系统 本 身 故 障 而 造成 数据 看 不 见 、 无 法 
读 取 或 丢失 ,工程师 要 通过 特殊 的 手段 读 取 在 正常 状态 下 不 可 见 .不 可 读 、 无 法 读 的 数据 。 
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数据 恢复 (Data Recovery,DR) 是 指 通 过 技术 手段 ,将 保存 在 台式 机 硬盘 、 笔 记 本 硬盘 、 服 
务 器 硬盘 ,存储 磁 带 库 ,移动 硬盘 、U 盘 数码 存储 卡 `Mp3 等 设备 上 而 丢失 的 电子 数据 进 
行 抢救 和 恢复 的 技术 。 


8.2.1 数据 恢复 的 原理 与 方法 


现实 中 很 多 人 不 知道 删除 ,格式 化 等 硬盘 操作 丢失 的 数据 可 以 恢复 ,以 为 删除 .格式 
化 以 后 数据 就 不 存在 了 。 事 实 上 ,上述 简单 操作 后 数据 仍然 存在 于 硬盘 中 ,懂得 数据 恢复 
原理 知识 的 人 能 将 消失 的 数据 找 回 来 ,在 了 解数 据 在 硬盘 、 优 盘 、 软 盘 等 介质 上 的 存储 原 
理 后 ,完全 可 以 实现 数据 恢复 。 

1. 分 区 

硬盘 存放 数据 的 基本 单位 为 扇 区 ,我 们 可 以 理解 为 一 本 书 的 一 页 。 当 我 们 装机 或 买 
来 一 个 移动 硬盘 后 ,第 一 步 便 是 为 了 方便 管理 一 一 分 区 。 无 论 用 何 种 分 区 工具 ,都 会 在 硬 
盘 的 第 一 个 扇 区 标注 上 硬盘 的 分 区 数量 .每 个 分 区 的 大 小 ,起 始 位 置 等 信息 ,术语 称 为 主 
引导 记录 (MBR) ,也 有 人 称 为 分 区 信息 表 。 当 主 引导 记录 因为 各 种 原因 (硬盘 坏 到 、 病 
毒 . 误 操 作 等 ) 被 破坏 后 ,一 些 或 全 部 分 区 自然 就 会 丢失 不 见 了 ,根据 数据 信息 特征 ,我 们 
可 以 重新 推算 计算 分 区 大 小 及 位 置 ,手工 标注 到 分 区 信息 表 , “丢失” 的 分 区 即 可 找 回 
来 了 。 

2. 文件 分 配 表 

为 了 管理 文件 存储 ,硬盘 分 区 完毕 后 , 接 下 来 的 工作 是 格式 化 分 区 。 格 式 化 程序 根据 
分 区 大 小 ,合理 地 将 分 区 划分 为 目录 文件 分 配 区 和 数据 区 ,就 像 我 们 看 的 小 说 ,前 几 页 为 
章节 目录 ,后 面 才 是 真正 的 内 容 。 文 件 分 配 表 内 记录 着 每 一 个 文件 的 属性 ,大 小 、 在 数据 
区 的 位 置 。 我 们 对 所 有 文件 的 操作 都 是 根据 文件 分 配 表 来 进行 的 。 文 件 分 配 表 遭 到 破坏 
以 后 ,系统 无 法 定位 到 文件 ,虽然 每 个 文件 的 真实 内 容 还 存放 在 数据 区 ,但 系统 却 会 认为 
文件 已 经 不 存在 。 我 们 的 数据 丢失 了 ,就 像 一 本 小 说 的 目录 被 撕 掉 一 样 。 要 想 直 接 去 想 
要 的 章节 ,已 经 不 可 能 了 ,要 想得到 想 要 的 内 容 ( 恢 复数 据 ), 只 能 赁 记忆 知道 具体 内 容 的 
大 致 页 数 ,或 每 页 ( 扇 区 ) 寻 找 你 要 的 内 容 。 

3. 删除 

我 们 向 硬盘 里 存放 文件 时 ,系统 首先 会 在 文件 分 配 表 内 写 上 文件 名 称 、 大 小 ,并 根据 
数据 区 的 空闲 空间 在 文件 分 配 表 上 继续 写 上 文件 内 容 在 数据 区 的 起 始 位 置 , 然 后 开始 向 
数据 区 写 上 文件 的 真实 内 容 ,一 个 文件 存放 操作 才 算 完毕 。 
删除 操作 却 很 简单 , 当 我 们 需要 删除 一 个 文件 时 ,系统 只 是 在 文件 分 配 表 内 在 该 文件 
前 面 写 一 个 删除 标志 , 则 表示 该 文件 已 被 删除 , 它 所 占用 的 空间 已 被 “释放 ”, 其 他 文件 可 
以 使 用 他 占用 的 空间 。 所 以 , 当 我 们 删除 文件 又 想 找 回 它 (数据 恢复 ) 时 ,只 需 用 工具 将 删 
除 标志 去 掉 ,数据 就 被 恢复 回来 了 。 当 然 , 前 提 是 没有 新 的 文件 写 入 ,该 文件 所 占用 的 空 
间 没 有 被 新 内 容 覆 盖 。 

4. 格式 化 

格式 化 操作 和 删除 相似 ,都 只 操作 文件 分 配 表 , 不 过 格式 化 是 将 所 有 文件 都 加 上 删除 
标志 ,或 干脆 将 文件 分 配 表 清 空 ,系统 将 认为 硬盘 分 区 上 不 存在 任何 内 容 。 格 式 化 操作 并 
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没有 对 数据 区 做 任何 操作 ,虽然 目录 空 了 ,但 内 容 还 在 ,借助 数据 恢复 知识 和 相应 工具 , 数 
据 仍然 能 够 被 恢复 回来 。 

注意 : 格式 化 并 不 是 100% 能 恢复 ,有 的 情况 下 磁盘 打 不 开 , 需 要 格式 化 才能 打开 。 
如 果 数 据 很 重要 , 千 万 别 尝 试 格 式 化 后 再 恢复 ,因为 格式 化 本 身 就 是 对 磁盘 写 入 的 过 程 ， 
只 会 破坏 残留 的 信息 。 

5. 覆盖 

数据 恢复 工程 师 常 说 :“ 只 要 数据 没有 被 覆盖 ,数据 就 有 可 能 恢复 回来 .” 

因为 磁盘 的 存储 特性 , 当 我 们 不 需要 硬盘 上 的 数据 时 ,数据 并 没有 被 拿 走 。 删 除 时 系 
统 只 是 在 文件 上 写 一 个 删除 标志 ,格式 化 和 低级 格式 化 也 是 在 磁盘 上 重新 覆盖 写 一 遍 以 
数字 0 为 内 容 的 数据 ,这 就 是 覆盖 。 

一 个 文件 被 标记 上 删除 标志 后 , 它 所 占用 的 空间 在 有 新 文件 写 人 时 ,将 有 可 能 被 新 文 
件 占用 覆盖 写 上 新 内 容 。 这 时 删除 的 文件 名 虽然 还 在 ,但 它 指向 数据 区 的 空间 内 容 已 经 
被 覆盖 改变 ,恢复 出 来 的 将 是 错误 .异常 内 容 。 同 样 ,文件 分 配 表 内 有 删除 标记 的 文件 信 
息 所 占用 的 空间 也 有 可 能 被 新 文件 名 文件 信息 占用 覆盖 ,文件 名 也 将 不 存在 了 。 

当 将 一 个 分 区 格式 化 后 ,又 拷贝 上 新 内 容 , 新 数据 只 是 覆盖 掉 分 区 前 部 分 空间 ,去 掉 
新 内 容 占 用 的 空间 ,该 分 区 剩余 空间 数据 区 上 无 序 内 容 仍 然 有 可 能 被 重新 组 织 ,将 数据 恢 
复出 来 。 

同 理 , 克 隆 .一 键 恢复 ,系统 还 原 等 造成 的 数据 丢失 ,只 要 新 数据 占用 空间 小 于 破坏 前 
空间 容量 ,数据 恢复 工程 师 就 有 可 能 恢复 你 想 要 的 分 区 和 数据 。 

6 防止 数据 丢失 

关于 防止 数据 丢失 的 三 个 方法 如 下 。 

(1) 永远 不 要 将 你 的 文件 数据 保存 在 操作 系统 的 同一 驱动 盘 上 。 

我 们 知道 大 部 分 文字 处 理 器 会 将 创建 的 文件 保存 在 “我 的 文档 ”中 ,然而 这 恰恰 是 最 
不 适合 保存 文件 的 地 方 。 对 于 影响 操作 系统 的 大 部 分 计算 机 问题 (不 管 是 因为 病毒 问题 
还 是 软件 故障 问题 ) ,通常 唯一 的 解决 方法 就 是 重新 格式 化 驱动 盘 或 者 重新 安装 操作 系 
统 , 如 果 是 这 样 的 话 ,驱动 盘 上 的 所 有 东西 都 会 数据 丢失 。 

另外 一 个 成 本 相对 较 低 的 解决 方法 就 是 在 你 的 计算 机 上 安装 第 二 个 硬盘 , 当 操作 系 
统 被 破坏 时 ,第 二 个 硬盘 驱动 器 不 会 受到 任何 影响 ,如 果 你 还 需要 购买 一 台新 计算 机 时 ， 
这 个 硬盘 还 可 以 被 安装 在 新 计算 机 上 ,而 且 这 种 硬盘 安装 非常 简便 。 

如 果 你 对 安装 第 二 个 驱动 盘 的 方法 不 认可 , 另 一 个 很 好 的 选择 就 是 购买 一 个 外 接 式 
硬盘 ,外 接 式 硬盘 操作 更 加 简便 ,可 以 在 任何 时 候 用 于 任何 电脑 ,只 需要 将 它 插 入 USB 端 
口 或 者 Firewire 端口 。 

(2) 定期 备份 你 的 文件 数据 ,不 管 它们 被 存储 在 什么 位 置 。 

将 你 的 文件 全 部 保存 在 操作 系统 是 不 够 的 ,应 该 将 文件 保存 在 不 同 的 位 置 ,并 且 你 需 
要 创建 文件 的 定期 备份 ,这 样 我 们 就 能 保障 文件 的 安全 性 ,不 管 你 的 备份 是 否 会 失败 : 光 
盘 可 能 被 损坏 ,硬盘 可 能 遭 破坏 ,软盘 可 能 被 清除 …… 如 果 你 想 要 确保 能 够 随时 取出 文 
件 ,那么 可 以 考虑 进行 二 次 备份 , 如果 数据 非常 重要 的 话 ,你 甚至 可 以 考虑 保存 重要 的 
误 件 。 
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(3) 提防 用 户 错误 。 

虽然 我 们 不 愿意 承认 ,但 是 很 多 时 候 是 因为 我 们 自己 的 问题 而 导致 数据 丢失 的 。 可 
以 考虑 利用 文字 处 理 器 中 的 保障 措施 ,例如 版 本 特征 功能 和 跟踪 变化 。 用 户 数据 丢失 的 
最 常见 的 情况 就 是 当 他 们 在 编辑 文件 的 时 候 , 意 外 地 删除 掉 某 些 部 分 ,那么 在 文件 保存 
后 ,被 删除 的 部 分 就 丢失 了 ,除非 你 启用 了 保存 文件 变化 的 功能 。 

如 果 你 觉得 那些 功能 很 麻烦 ,那么 我 建议 你 在 开始 编辑 文件 之 前 就 将 文件 另存 为 不 
同名 称 的 文件 ,这 个 办 法 不 像 其 他 办 法 一 样 复杂 ,不 过 这 确实 是 一 个 好 办 法 ,也 能 够 解决 
数据 丢失 的 问题 。 


8.2.2 数据 恢复 种 类 


1. 逻辑 故障 数据 恢复 

逻辑 故障 是 指 与 文件 系统 有 关 的 故障 。 硬 盘 数 据 的 写 人 和 读 取 都 是 通过 文件 系统 来 
实现 的 。 如 果 磁 盘 文 件 系统 损坏 ,那么 计算 机 就 无 法 找到 硬盘 上 的 文件 和 数据 。 逻 辑 故 
障 造成 的 数据 丢失 ,大 部 分 情况 是 可 以 通过 数据 恢复 软件 找 回 的 。 

2. 硬件 故障 数据 恢复 

硬件 故障 占 所 有 数据 意外 故障 一 半 以 上 ,常见 的 有 和 雷击、 高 压 、 高 温 等 造成 的 电路 故 
障 , 高 温 .振动 碰撞 等 造成 的 机 械 故 障 , 高 温 、 振 动 碰撞 、 存 储 介 质 老 化 造成 的 物理 损坏 磁 
道 扇 区 故障 ,当然 还 有 意外 丢失 损坏 的 固件 BIOS 信息 等 。 

硬件 故障 的 数据 恢复 当然 是 先 诊 断 ,对症下药 , 先 修复 相应 的 硬件 故障 ,然后 修复 其 
他 软 故障 ,最 终 将 数据 成 功 恢复 。 

电路 故障 需要 我 们 有 电路 基础 ,需要 更 加 深入 了 解 硬 盘 的 详细 工作 原理 流程 。 机 械 
磁头 故障 需要 100 级 以 上 的 工作 台 或 工作 间 来 进行 诊断 修复 工作 。 另 外 ,还 需要 一 些 软 
硬件 维修 工具 配合 来 修复 固件 区 等 故障 类 型 。 

3. 磁盘 阵列 RAID 数据 恢复 

磁盘 阵列 的 存储 原理 这 里 不 进行 讲解 ,其 恢复 过 程 也 是 先 排除 硬件 及 软 故障 ,然后 分 
析 阵 列 顺序 , 块 大 小 等 参数 ,用 阵列 卡 或 阵列 软件 重组 或 者 使 用 DiskGenius 虚拟 重组 
RAID, 重 组 后 便 可 按 常规 方法 恢复 数据 。 


8.2.3 数据 恢复 应 用 


1. 硬盘 数据 恢复 

硬盘 软 故障 包括 : 四 系统 故障 ,系统 不 能 正常 启动 .密码 或 权限 丢失 、 分 区 表 丢 失 、 
BOOT 区 丢失 、MBR 丢失 ; 四 文件 委 失 , 误 操 作 、 误 格式 化 . 误 克隆 、 误 删除 `. 误 分 区 ,病毒 
破坏 .黑客 攻击 、PQ 操作 失败 、RAID 磁盘 阵列 失效 等 ; @ 文 件 损坏 ,损坏 的 Office 系列 
Word、Excel、Access、PowerPoint 文件 Microsoft SQL 数据 库 复 、Oracle 数据 库 文件 修 
复 、Foxbase/foxpro 的 dbf 数据 库 文件 修复 ;损坏 的 邮件 Outlook Express dbx 文件 、 
Outlook pst 文件 的 修复 ;损坏 的 MPEG 、asf、RM 等 媒体 文件 的 修复 。 

2. 硬盘 物理 故障 

常见 硬盘 物理 故障 包括 : CMOS 不 认 盘 ; 常 有 一 种 * 嘎 味 ” 的 磁头 撞击 声 ; 电 机 不 
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E 常 ,但 “磁盘 管理 "中 无 法 找到 该 硬盘 ;电路 板 有 明显 的 烧 痕 等 。 磁 盘 物 理 





故障 分 类 : @ 盘 体 故障 ,磁头 烧 坏 、 磁 头 老化 、 磁 头 芯 片 损坏 .电机 损坏 、 磁 头 偏 移 、 零 磁道 
坏 \ 大 量 坏 扇 、 盘 片 划 伤 . 磁 组 变形 ; @ 电 路 板 故障 ,电路 板 损坏 `, 芯 片 烧 坏 、 断 针 断 线 。 回 
固件 信息 丢失 、 固 件 损坏 等 。 

3. UU 盘 数据 恢复 

XD 卡 .SD 卡 .CF 卡 .MEMORY STICK、SM 卡 .MMC 卡 `MP3、MP4 .记忆 棒 、 数 码 
相机 、DV 、 微 硬盘 、 光 盘 、 软 盘 等 各 类 存储 设备 一 般 利 用 软件 修复 。 大 硬盘 和 移动 盘 等 数 
据 介 质 损 坏 或 出 现 电 路 板 故 障 、 磁 头 偏 移 、 盘 片 划 伤 等 情况 时 ,采用 开 体 更 换 、 加 载 和 定位 
等 方法 进行 数据 修复 。 


数码 相机 


内 存 卡 (如 SD 卡 、CF 卡 、 记 忆 棒 等 )、U 盘 , 甚 至 最 新 的 SSD 固态 硬盘 ,由 


于 没有 盘 体 ,没有 盘 片 ,存储 数据 的 是 Flash 芯片 。 如 果 出 现 硬 件 故 障 , 只 有 极 少 数 数据 
恢复 公司 可 以 恢复 此 类 介质 ,这 是 由 于 一 般 的 数据 恢复 公司 做 此 类 介质 时 ,需要 匹配 对 应 
的 主 控 芯 片 , 而 主 控 芯 片 在 买 来 备件 后 需要 拆 开 后 才能 知道 ,备件 一 拆 , 可 能 就 毁 了 ,如果 
主 控 芯 片 不 能 配对 ,数据 仍然 无 法 恢复 。 即 使 碰巧 配 上 主 控 型 号 ,也 不 代表 一 定 可 以 读 出 
数据 ,因此 恢复 的 成 本 和 代价 非常 之 高 。 一 般 的 数据 恢复 公司 碰 上 此 类 介质 ,成 功率 非常 
低 ,基本 上 放弃 。 这 种 恢复 技术 和 原理 是 大 多 数 数据 恢复 的 做 法 。 但 是 ,对 于 恢复 Flash 
类 的 介质 ,新 出 的 一 种 数据 恢复 技术 ,可 以 不 需要 配对 主 控 芯 片 , 通 过 一 种 特殊 的 硬件 设 
备 , 直 接 读 取 Flash 芯片 里 的 代码 ,然后 配 上 特殊 的 算法 和 软件 ,通过 人 工 组 合 ,直接 重组 
出 Flash 数据 。 这 种 恢复 方法 和 原理 ,成 功率 几乎 接近 100%。 但 是 受制 于 此 类 设备 的 昂 
贵 成 本 ,同时 对 数据 恢复 技术 要 求 很 高 ,工程 师 不 但 要 精通 硬件 ,还 需要 精通 软件 和 文件 
系统 ,因此 国内 只 有 极 个 别 的 数据 恢复 公司 可 以 做 到 成 功率 接近 100% ,有些 公 司 花 了 很 
高 代价 采购 此 设备 后 ,由 于 工程 师 技 术 所 限 , 不 会 使 用 ,同样 无 法 恢复 。 虽 然 从 技术 上 解 
决 了 Flash 恢复 的 难题 ,但 是 对 客户 而 言 ,此 类 恢复 的 成 本 非常 之 高 , 比 硬盘 的 硬件 故障 
恢复 价格 要 高 。2GB 左右 的 恢复 费 接 近 千 元 , 32GB、64GB 容量 的 恢复 费用 基本 上 在 
3000 一 5000 人 民 币 。 


4. UNIX 
在 UNIX 


数据 恢复 
系统 的 数据 恢复 中 ,基于 Solaris SPARC 平台 的 数据 恢复 和 基于 Intel 平台 


的 Solaris 数据 恢复 ,可 恢复 SCO OPENSERVER 数据 ,原理 和 方法 同样 适用 于 HP- 
UNIX 的 数据 恢复 ,IBM-AIX 的 数据 恢复 。 

Linux 数据 恢复 是 Linux 系 统管 理 员 的 重要 工作 和 职责 。 传 统 的 Linux 服务 器 数据 
恢复 的 方法 很 多 ,恢复 的 手段 也 多 种 多 样 。 常 见 的 Linux 数据 恢复 备份 方式 仅仅 是 把 数 
据 通过 TAR 命令 压缩 拷贝 到 磁盘 的 其 他 区 域 中 去 。 另 外 比较 保险 的 做 法 是 双 机 自动 备 
份 ,不 把 所 有 数据 存放 在 一 台 计 算 机 上 ,否则 一 旦 这 台 计 算 机 的 硬盘 物理 性 损坏 ,那么 一 
切 数据 将 不 复 存 在 了 。 所 以 双 机 备份 是 商业 服务 器 数据 安全 的 基本 要 求 。 

5. 数据 恢复 软件 


目前 主要 


数据 恢复 软件 如 下 : 


EasyRecovery 是 一 款 非 常 著名 的 老牌 数据 恢复 软件 ,该 软件 功能 可 以 说 是 非常 强 
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大 。 无 论 是 误 删 除 / 格 式 化 还 是 重新 分 区 后 的 数据 丢失 ,其 都 可 以 轻松 解决 ,甚至 可 以 不 
依靠 分 区 表 按 照 簇 来 进行 硬盘 扫描 。 但 要 注意 不 通过 分 区 表 来 进行 数据 扫描 ,很 可 能 不 
能 完全 恢复 数据 ,原因 是 通常 一 个 大 文件 被 存储 在 很 多 不 同 区 域 的 簇 内 ,即使 我 们 找到 了 
这 个 文件 一 些 秘 上 的 数据 ,很 可 能 恢复 之 后 的 文件 是 损坏 的 。 所 以 这 种 方法 并 不 是 万 能 
的 ,但 其 提供 给 我 们 一 个 新 的 数据 恢复 方法 ,适合 在 分 区 表 严 重 损坏 使 用 其 他 恢复 软件 不 
能 恢复 的 情况 下 使 用 。EasyRecovery 最 新 版 本 加 入 了 一 整套 检测 功能 ,包括 驱动 器 测 
试 .分 区 测试 磁盘 空间 管理 以 及 制作 安全 启动 盘 等 。 这 些 功能 对 于 日 常 维护 硬盘 数据 来 
说 ,非常 实用 ,我 们 可 以 通过 驱动 器 和 分 区 检测 来 发 现 文件 关联 错误 以 及 硬盘 上 的 坏 道 。 

R-Studio 是 功能 超 强 的 数据 恢复 、 反 删除 工具 ,采用 全 新 恢复 技术 ,为 使 用 FAT12/ 
16/32、.NTFS、NTFS5(Windows 2000 系统 ) 和 Ext2FS(Linux 系统 ) 分 区 的 磁盘 提供 完 
整数 据 维护 解决 方案 ,同时 提供 对 本 地 和 网 络 磁盘 的 支持 ,此 外 还 有 大 量 参数 设置 让 高 级 
用 户 获 得 最 佳 恢复 效果 。 有 具体 功能 有 : 采用 Windows 资源 管理 器 操作 界面 ;通过 网 络 恢 
复 远 程 数据 (远程 计算 机 可 运行 Win95/98/ ME/NT/2000/XP、Linux、UNIX 系统 ) ;支持 
FAT12/16/32 NTFS NTFS5 和 Ext2FS 文件 系统 ;能 够 重建 损毁 的 RAID 阵列 ;为 磁 
盘 、 分 区 .目录 生成 镜像 文件 ;恢复 删除 分 区 上 的 文件 ,加密 文 件 CNTFS5) 数据 流 
(NTFS、NTFS5) ;恢复 FDISK 或 其 他 磁盘 工具 删除 过 的 数据 ,病毒 破坏 的 数据 .MBR 破 
坏 后 的 数据 ;识别 特定 文件 名 ;把 数据 保存 到 任何 磁盘 ;浏览 .编辑 文件 或 磁盘 内 容 等 。 

顶尖 数据 恢复 软件 能 够 恢复 硬盘 、 移 动 硬盘 、U 盘 、TF 卡 、 数 码 相 机 上 的 数据 ,软件 
采用 多 线程 引擎 ,扫描 速度 极 快 ,能 扫描 出 磁盘 底层 的 数据 ,经 过 高 级 的 分 析 算法 ,能 把 丢 
失 的 目录 和 文件 在 内 存 中 重建 出 来 。 同 时 ,软件 不 会 向 硬盘 内 写 入 数据 ,所 有 操作 均 在 内 
存 中 完成 ,能 有 效 地 避免 对 数据 的 二 次 破坏 。 

安 易 硬盘 数据 恢复 软件 是 一 款 文件 恢复 软件 ,能 够 恢复 经 过 回收 站 删除 掉 的 文件 ,被 
Shift 十 Delete 键 直接 删除 的 文件 和 目录 快速 格式 化 /完全 格式 化 的 分 区 、 分 区 表 损 坏 、 
盘 符 无 法 正常 打开 的 RAW 分 区 数据 \ 在 磁盘 管理 中 删除 掉 的 分 区 、 被 重新 分 区 过 的 硬盘 
数据 一 键 Ghost 对 硬盘 进行 分 区 、 被 第 三 方 软件 做 分 区 转换 时 丢失 的 文件 ,把 整个 硬盘 
误 Ghost 成 一 个 盘 丢失 的 文件 等 。 本 恢复 软件 用 只 读 的 模式 来 扫描 文件 数据 信息 ,在 内 
存 中 组 建 出 原来 的 目录 文件 名 结构 ,不 会 破坏 源 盘 内 容 。 支 持 常见 的 NTFS 分 区 、FAT/ 
FAT32 分 区 、exFAT 分 区 的 文件 恢复 ,支持 普通 本 地 硬盘 、USB 移动 硬盘 恢复 、SD 卡 恢 
复 .U 盘 恢 复 、 数 码 相 机 和 手机 内 存 卡 恢复 等 。 采 用 向 导 式 的 操作 界面 ,方便 上 手 , 普 通 
用 户 也 能 做 到 专业 级 的 数据 恢复 效果 。 

6. 数据 恢复 技巧 

1) 不 必 完 全 扫描 

如 果 你 仅 想 找到 不 小 心 误 删除 的 文件 ,那么 无 论 使 用 哪 种 数据 恢复 软件 ,也 不 管 它 是 
否 具有 类 似 EasyRecovery 快速 扫描 的 方式 ,其 实 都 没 必 要 对 删除 文件 的 硬盘 分 区 进行 完 
全 的 簇 扫 描 。 因 为 文件 被 删除 时 ,操作 系统 仅 在 目录 结构 中 给 该 文件 标 上 删除 标识 ,任何 
数据 恢复 软件 都 会 在 扫描 前 先 读 取 目录 结构 信息 ,并 根据 其 中 的 删除 标志 顺利 找到 刚 被 
删除 的 文件 。 所 以 ,你 完全 可 在 数据 恢复 软件 读 完 分 区 的 目录 结构 信息 后 就 手动 中 断 入 
扫描 的 过 程 , 软 件 一 样 会 把 被 删除 文件 的 信息 正确 列 出 ,如 此 可 节省 大 量 的 扫描 时 间 , 快 
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速 找到 被 误 删除 的 文件 数据 。 

2) 尽 可 能 采取 NTFS 格式 分 区 

NTFS 分 区 的 MFT 以 文件 形式 存储 在 硬盘 上 ,这 也 是 EasyRecovery 和 Recover4all 
即使 使 用 完全 扫描 方式 对 NTFS 分 区 扫描 也 那么 快速 的 原因 实际 上 它们 在 读 取 
NTFS 的 MFT 后 并 没有 真正 进行 簇 扫描 ,只 是 根据 MFT 信息 列 出 了 分 区 上 的 文件 信 
息 ,非常 取 巧 ,从 而 在 NTFS 分 区 的 扫描 速度 上 压倒 了 老 老实 实 逐 个 簇 扫描 的 其 他 软件 。 
不 过 对 于 NTFS 分 区 的 文件 恢复 成 功率 各 款 软件 几乎 是 一 样 的 ,事实 证 明 这 种 取 巧 的 办 
法 确实 有 效 , 也 证 明了 NTFS 分 区 系统 的 文件 安全 性 确实 比 FAT 分 区 要 高 得 多 ,这 也 就 
是 NTFS 分 区 数据 恢复 在 各 项 测试 成 绩 中 最 好 的 原因 ,只 要 能 读 取 到 MFT 信息 ,就 几乎 
能 100% 恢 复 文件 数据 。 

3) 巧妙 设置 扫描 的 簇 范 围 

设置 扫描 簇 的 范围 是 一 个 有 效 加 快 扫描 速度 的 方法 。 像 EasyRecovery 的 高 级 自 定 
义 扫描 方式 、FinalData 和 File Recovery 的 默认 扫描 方式 都 可 以 设置 扫描 的 簇 范 围 以 缩 
短 扫 描 时 间 。 当 然 , 要 判断 目的 文件 在 硬盘 上 的 位 置 需 要 一 些 技巧 ,这 里 提供 一 个 简单 的 
方法 ,使 用 操作 系统 自 带 的 硬盘 碎片 整理 程序 中 的 碎片 分 析 程序 ( 千 万 小 心 不 要 碎片 整 
理 , 只 用 它 的 碎片 分 析 功 能 ) ,在 分 区 分 析 完 后 程序 会 将 硬盘 的 未 使 用 空间 用 图 形 方式 清 
楚 地 表示 出 来 ,那么 根据 图 形 的 比例 估计 这 些 未 使 用 空间 的 大 致 徐 范 围 ,搜索 时 设置 只 搜 
索 这 些 空 白 的 艇 范围 就 好 了 ,对 于 大 的 分 区 ,这 确实 能 节省 不 少 扫描 时 间 。 

4) 使 用 文件 格式 过 滤器 

以 前 没 用 过 数据 恢复 软件 的 读者 在 第 一 次 使 用 时 可 能 会 被 软件 的 能 力 吓 一 跳 , 你 的 
目的 可 能 只 是 要 找 几 个 误 删 的 文件 ,可 软件 却 列 出 了 成 百 上 千 个 以 前 删除 了 的 文件 ,要 找 
到 自己 真正 需要 的 文件 确实 十 分 麻烦 。 这 里 就 要 使 用 EasyRecovery 独 有 的 文件 格式 过 
滤器 功能 了 ,在 扫描 时 在 过 滤器 上 填 好 要 找 文 件 的 扩展 名 ,如 “x*. doc”, 那 么 软件 就 只 会 
显示 找到 的 DOC 文件 了 ;如 果 只 是 要 找 一 个 文件 ,你 甚至 只 需要 在 过 滤器 上 填 好 文件 名 
和 扩展 名 (如 important. doc) ,软件 自然 会 找到 你 需要 的 这 个 文件 ,很 快捷 方便 。 

7. 数据 恢复 技能 

数据 恢复 是 一 个 技术 含量 比较 高 的 行业 ,数据 恢复 技术 人 员 需 要 具备 汇编 语言 和 软 
件 应 用 的 技能 ,还 需要 电子 维修 、 机 械 维 修 以 及 硬盘 技术 。 

1) 软件 应 用 和 汇编 语言 基础 

在 数据 恢复 的 案例 中 ,软件 级 的 问题 占 了 2/3 以 上 的 比例 ,例如 文件 丢失 、 分 区 表 丢 
失 或 破坏 ,数据 库 破坏 等 ,这 些 就 需要 对 DOS、Windows、Linux 以 及 Mac 的 操作 系统 以 
及 数据 结构 熟练 掌握 ,需要 对 一 些 数 据 恢复 工具 和 有 反 汇编 工具 熟练 应 用 。 

2) 电子 电路 维修 技能 

在 硬盘 的 故障 中 ,电路 的 故障 占据 了 大 约 一 成 的 比例 ,最 多 的 情况 就 是 电阻 烧毁 和 芯 
片 烧毁 ,作为 一 个 技术 人 员 ,必须 具备 电子 电路 知识 和 熟练 的 焊接 技术 。 

3) 机 械 维修 技能 

随 着 硬盘 容量 的 增加 ,硬盘 的 结构 也 越 来 越 复杂 ,磁头 故障 和 电机 故障 也 变 得 比较 常 
见 ,开盘 技术 已 经 成 为 一 个 数据 恢复 工程 师 必 须 具 备 的 技能 。 
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4) 硬盘 固件 级 维修 技术 

硬盘 固件 损坏 也 是 造成 数据 丢失 的 一 个 重要 原因 ,固件 维修 不 当 造 成 数据 破坏 的 风 
险 相 对 比较 高 ,而 固件 级 维修 则 需要 比较 专业 的 技能 和 丰富 的 经 验 。 

8. RAID 

如 何 提 高 磁盘 的 存 取 速度 ,如 何 防止 数据 因 磁 盘 的 故障 而 丢失 ,如 何 有 效 地 利用 磁盘 
空间 ,一 直 是 电脑 专业 人 员 和 用 户 的 困扰 ,而 大 容量 磁盘 的 价格 非常 昂贵 ,对 用 户 造 成 很 
大 的 负担 。 磁 盘 阵 列 技术 的 产生 一 举 解决 了 这 些 问 题 。 

过 去 十 几 年 来 ,CPU 的 处 理 速度 提高 了 50 多 倍 ,内 存 的 存 取 速 度 也 大 幅 提高 ,而 数 
据 储存 装置 一 一 主要 是 磁盘 一 一 的 存 取 速 度 只 增加 了 三 四 倍 , 形 成 电脑 系统 的 瓶颈 , 拉 低 
了 电脑 系统 的 整体 性 能 , 若 不 能 有 效 提升 磁盘 的 存 取 速 度 ,CPU ,内 存 及 磁盘 间 的 不 平衡 
将 使 CPU 及 内 存 的 改进 形成 浪费 。 

磁盘 阵列 中 针对 不 同 的 应 用 使 用 的 不 同 技术 , 称 为 RAID(Redundant Array of 
Independent Disks) 等 级 ,而 每 一 等 级 代表 一 种 技术 。 目 前 业界 经 常 应 用 的 RAID 等 级 是 
RAID 0~RAID 5。 这 个 等 级 并 不 代表 技术 的 高 低 ,RAID 5 并 不 高 于 RAID 3。 至 于 要 
选择 哪 一 种 RAID 等 级 的 产品 , 视 用 户 的 操作 环境 及 应 用 而 定 ,与 等 级 的 高 低 没 有 必然 的 

常用 的 RAID 等 级 如 下 。 

1) RAID 0 

RAID 0 是 把 所 有 的 硬盘 并 联 起 来 成 为 一 个 大 的 硬盘 组 。 其 容量 为 所 有 属于 这 个 组 
的 硬盘 的 总 和 。 所 有 数据 的 存 取 均 以 并 行 分 割 方式 进行 。 由 于 所 有 存 取 的 数据 均 以 平衡 
方式 存 取 到 整 组 硬盘 里 .因此 存 取 的 速度 非常 快 。 越 是 多 硬盘 数量 的 RAID 0 阵列 ,其 存 
取 的 速度 就 越 快 。 容 量 效率 方面 也 是 所 有 RAID 格式 中 最 高 的 ,达到 100%。 但 RAID 0 
有 一 个 致命 的 缺点 ,就 是 它 跟 普通 硬盘 一 样 ,没有 一 点 的 元 余 能 力 。 一 旦 有 一 个 硬盘 失效 
时 ,所 有 的 数据 将 尽 失 , 没 法 重组 回来 。 一 般 来 讲 ,RAID 0 只 用 于 一 些 已 有 原 数据 载体 
的 多 媒体 文件 的 高 速 读 取 环 境 , 如 视频 点 播 系统 的 数据 共享 部 分 等 。RAID 0 只 需要 两 
个 或 以 上 的 硬盘 便 能 组 成 。 

2) RAID 1 

RAID 1 是 硬盘 镜像 备份 操作 。 由 两 个 硬盘 组 成 ,其 中 一 个 是 主 硬盘 ,而 男 外 一 个 是 
镜像 硬盘 。 主 硬盘 的 数据 会 不 停 地 被 镜像 到 另外 一 个 镜像 硬盘 上 。 由 于 所 有 主 硬盘 的 数 
据 会 不 停 地 镜像 到 另外 一 个 硬盘 上 , 故 RAID 1 具有 很 高 的 元 余 能 力 ,最 高 达到 100% 。 
由 于 这 个 镜像 做 法 不 是 以 算法 操作 , 故 容量 效率 非常 低 , 只 有 50%。RAID 1 只 支持 两 个 
硬盘 操作 ,容量 也 非常 有 限 . 故 一 般 只 用 于 操作 系统 中 。 

3) RAID 0 十 1 

RAID 0 十 1 即 由 两 组 RAID 0 的 硬盘 作 RAID 1 的 镜像 容错 。 虽 然 RAID 0 十 1 具备 
RAID 1 的 容错 能 力 和 RAID 0 的 容量 性 能 .但 RAID 0 十 1 的 容量 效率 还 是 与 RAID 1 一 
样 只 有 50% , 故 同样 没有 被 普及 使 用 。 

4) RAID 3 

RAID 3 在 安全 方面 以 奇偶 校 验 (Parity Check) 做 错误 校正 及 检测 ,只 需要 一 个 额外 





第 8 章 ” 容 灾 备 份 与 数据 恢复 


的 校 检 磁盘 (Parity Disk) 。 奇 偶 校 验 值 的 计算 是 以 各 个 磁盘 的 相对 应 位 作 XOR 的 逻辑 
运算 ,然后 将 结果 写 人 奇偶 校 验 磁 盘 , 任 何 数 据 的 修改 都 要 做 奇偶 校 验 计算 。 如 某 一 磁盘 
故障 , 换 上 新 的 磁盘 后 ,整个 磁盘 阵列 (包括 奇偶 校 验 磁盘 ) 须 重新 计算 一 次 ,将 故障 磁盘 
的 数据 恢复 并 写 人 新 磁盘 中 ,如 奇偶 校 验 磁盘 故障 , 则 重新 计算 奇偶 校 验 值 ,以 达到 容错 
的 要 求 。 

5) RAID 5 

RAID 5 也 是 一 种 具 容 错 能 力 的 RAID 操作 方式 ,但 与 RAID 3 不 一 样 的 是 RAID 5 
的 容错 方式 不 应 用 专用 容错 硬盘 ,容错 信息 是 平均 地 分 布 到 所 有 硬盘 上 。 当 阵列 中 有 一 
个 硬盘 失效 时 ,磁盘 阵列 可 以 从 其 他 几 个 硬盘 的 对 应 数据 中 算出 已 丢失 的 数据 。 由 于 出 
现 需要 保证 失去 的 信息 可 以 从 另外 的 几 个 硬盘 中 算出 来 ,因此 就 需要 在 一 定 容 量 的 基础 
上 多 用 一 个 硬盘 以 保证 其 他 的 成 员 硬 盘 可 以 无 误 地 重组 失去 的 数据 。 从 容量 效率 来 讲 ， 
RAID 5 同样 地 消耗 了 一 个 硬盘 的 容量 , 当 有 一 个 硬盘 失效 时 ,失效 硬盘 的 数据 可 以 从 其 
他 硬盘 的 容错 信息 中 重建 出 来 ,但 如 果 有 两 个 硬盘 同时 失效 的 话 , 所 有 数据 将 尽 失 。 

6) RAID 6 

与 RAID 5 相 比 ,RAID 6 增加 了 第 二 个 独立 的 奇偶 校 验 信息 块 。 两 个 独立 的 奇偶 系 
统 使 用 不 同 的 算法 ,数据 的 可 靠 性 非常 高 ,即使 两 块 磁盘 同时 失效 也 不 会 影响 数据 的 使 
用 。 但 RAID 6 需要 分 配给 奇偶 校 验 信息 更 大 的 磁盘 空间 ,相对 于 RAID 5 有 更 大 的 “ 写 
损失 ”, 因 此 “ 写 性 能 ”非常 差 。 较 差 的 性 能 和 复杂 的 实施 方式 使 得 RAID 6 很 少 得 到 实际 
应 用 。 

常见 的 RAID 6 组 建 类 型 : RAID 6(6D 十 2P) 。 

RAID 6(6D 十 2P) 原 理 : 和 RAID 5 相似 .RAID 6(6D 十 2P) 根 据 条 带 化 的 数据 生成 
校 验 信息 ,条 带 化 数据 和 校 验 数据 一 起 分 散 存储 到 RAID 组 的 各 个 磁盘 上 。 

RAID 6 校 验 数据 生成 公式 (P 和 Q) 如 下 : 

P 的 生成 用 了 异 或 : 

P=D, XOR D: XOR D; XOR D; XOR D, XOR D; 
Q 的 生成 用 了 系数 和 异 或 : 
Q=Ao * D, XOR Al * D! XOR A, * D, XOR A: * D; XOR A, * D, XOR As * Ds 

其 中 : Do 一 Di :条 带 化 数据 ;Au 一 As :系数 ;XOR: 异 或 ; x* : 乘 。 

各 系数 A。 一 As 是 线性 无 关 的 系数 ,在 De ,Di ,D: ,Di: ,D, ,Di ,P,Q 中 有 两 个 未 知 数 
的 情况 下 ,也 可 以 求解 两 个 方程 得 出 两 个 未 知 数 的 值 。 这 样 在 一 个 RAID 组 中 有 两 块 磁 
盘 同 时 坏 的 情况 下 ,也 可 以 恢复 数据 。 

上 面 描述 的 是 校 验 数 据 生成 的 算法 。 其 实 RAID 6 的 核心 就 是 有 两 份 检验 数据 ,以 
保证 两 块 磁盘 同时 出 故障 的 时 候 , 也 能 保障 数据 安全 。 

7) RAID 7 

这 是 一 种 新 的 RAID 标准 ,其 自身 带 有 智能 化 实时 操作 系统 和 用 于 存储 管理 的 软件 
工具 ,可 完全 独立 于 主机 运行 :不 占用 主机 CPU 资源 。RAID 7 可 以 看 作 是 一 种 存储 计 
算 机 (Storage Computer) , 它 与 其 他 RAID 标准 有 明显 区 别 。 除 了 以 上 的 各 种 标准 ,我 们 
可 以 如 RAID 0 十 1 那样 结合 多 种 RAID 规范 来 构筑 所 需 的 RAID 阵列 ,例如 RAID 5 十 3 
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(RAID 53) 就 是 一 种 应 用 较为 广泛 的 阵列 形式 。 用 户 一 般 可 以 通过 灵活 配置 磁盘 阵列 来 
获得 更 加 符合 要 求 的 磁盘 存储 系统 。 

9. 网 络 存储 服务 器 

网 络 存储 服务 器 (Network Attached Storage,NAS) 是 一 个 专用 的 为 提供 高 性 能 、 低 
成 本 和 高 可 靠 性 的 数据 保存 和 传送 产品 。NAS 设备 是 为 提供 一 套 安全 、 稳 固 的 文件 和 数 
据 保 存 、 容 易 使 用 和 管理 而 设计 的 ,其 定义 为 特殊 的 独立 的 专用 数据 存储 服务 器 ,内 嵌 系 
统 软 件 , 可 以 提供 NFS、SMB/CIFS 文件 共享 。NAS 是 基于 IP 协议 的 文件 级 数据 存储 ， 
支持 现 有 的 网 络 技术 ,如 以 太 网 .FDDI 等 。NAS 设备 完全 以 数据 为 中 心 ,将 存储 设备 与 
服务 器 彻底 分 离 , 集 中 管理 数据 ,从 而 有 效 释 放 带 宽 , 大 大 提高 了 网 络 整 体 性 能 ,也 可 有 效 
降低 总 拥有 成 本 ,保护 用 户 投 资 。 把 文件 存放 在 同一 个 服务 器 里 让 不 同 的 电脑 用 户 共享 
和 集合 网 络 里 不 同 种 类 的 电脑 正 是 NAS 网 络 存储 的 主要 功能 。 正 因为 NAS 网 络 存储 
系统 应 用 开放 的 、 工 业 标 准 的 协议 ,不 同类 型 的 电脑 用 户 运 行 不 同 的 操作 系统 也 可 以 实现 
对 同一 个 文件 的 访问 ,所 以 已 经 不 会 在 意 到 底 是 Windows 用 户 或 UNIX 用 户 。 他 们 同 
样 可 以 安全 可 靠 地 使 用 NAS 网 络 存储 系统 中 的 数据 。 

NAS 因 其 流畅 的 机 构 设 计 , 具 有 突出 的 性 能 。 

1) 移 除 服务 器 1/O 瓶颈 

NAS 是 专门 针对 文件 级 数据 存储 应 用 而 设计 的 ,将 存储 设备 与 服务 器 完全 分 离 , 从 
而 彻底 消除 服务 器 端 数据 1/O 瓶颈 。 服 务 器 不 用 再 承担 向 用 户 传送 数据 的 任务 ,更 专注 
于 网 络 中 的 其 他 应 用 ,也 提高 了 网 络 的 整体 性 能 。 

2) 简便 实现 NT 与 UNIX 下 的 文件 共享 

NAS 支持 标准 的 网 络 文件 协议 ,可 以 提供 完全 跨 平 台 文件 混合 存储 功能 。 不 同 操作 
系统 下 的 用 户 均 可 将 数据 存储 在 一 台 NAS 设备 中 ,从 而 大 大 节省 存储 空间 ,减少 资源 

3) 简便 的 设备 安装 .管理 与 维护 

NAS 设备 提供 了 最 简便 快捷 的 安装 过 程 ,经 过 简单 的 调试 就 可 以 流畅 应 用 。 一 般 基 
于 图 形 界 面 的 管理 系统 可 方便 进行 设备 的 掌控 。 同 样 , 网 络 管理 员 不 用 分 别 对 设备 进行 
管理 ,集中 化 的 数据 存储 与 管理 ,节省 了 大 量 的 人 力 物力 。 

4) 按 需 增 容 , 方 便 容 量规 划 

NAS 设备 可 以 提供 在 线 扩容 能 力 , 大 大 方便 了 网 络 管理 员 的 容量 设计 。 即 使 应 付 无 
法 预见 的 存储 容量 增长 ,也 异常 轻松 自如 。 而 且 , 这 种 数据 容量 扩充 的 时 候 , 不 用 停顿 整 
个 网 络 的 服务 ,这 将 大 大 减少 因为 停机 造成 的 成 本 浪费 。 

5) 具有 高 可 靠 性 

除了 刚才 提 到 的 因为 移 除 服 务 器 端 1/O 瓶颈 而 大 大 提高 数据 可 用 性 外 ,NAS 设备 还 
采用 多 种 方式 提高 数据 的 可 用 性 、 可 靠 性 ,例如 RAID 技术 的 采用 ,元 余部 件 (电源 、 风 扇 
等 ) 的 采用 以 及 容错 系统 的 设计 等 ,当然 ,对 于 不 同 的 设备 ,可 能 也 会 采用 其 他 更 高 性 能 的 
方式 或 解决 方案 。 
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6) 降低 总 拥有 成 本 


NAS 有 一 个 最 吸引 用 户 的 地 方 , 那 就 是 具有 极 低 的 总 拥有 成 本 。 

NAS 的 主要 优点 如 下 。 

(1) NAS 适用 于 那些 需要 通过 网 络 将 文件 数据 传送 到 多 台 客 户 机 上 的 用 户 。NAS 
设备 在 数据 必须 长 距离 传送 的 环境 中 可 以 很 好 地 发 挥 作用 。 

(2) NAS 设 备 非常 易于 部 署 。 可 以 使 NAS 主机、 客户 机 和 其 他 设备 广泛 分 布 在 整 
个 企业 的 网 络 环境 中 。NAS 可 以 提供 可 靠 的 文件 级 数据 整合 ,因为 文件 锁定 是 由 设备 自 
身 来 处 理 的 。 

(3) NAS 应 用 于 高 效 的 文件 共享 任务 中 ,例如 UNIX 中 的 NFS 和 Windows NT 中 
的 CIFS, 其 中 基于 网 络 的 文件 级 锁定 提供 了 高 级 并 发 访问 保护 的 功能 。 

10. SAN 的 概念 

存储 区 域 网 (Storage Area Network,SAN) 被 定义 为 一 个 共用 的 高 速 专 用 存储 网 络 ， 
存储 设备 集中 在 服务 器 的 后 端 , 因 此 SAN 是 专用 的 高 速 光 纤 网 络 。 架 构 一 个 真正 的 
SAN ,需要 接 专用 的 光纤 交换 机 和 集线器 。 存 储 区 域 网 络 是 网 络 体系 结构 中 一 种 相对 新 
的 概念 ,也 是 连接 服务 器 和 独立 于 工作 网 络 的 在 线 存储 设备 的 网 络 。 虽 然 网 络 依然 在 发 
展 过 程 中 ,但 最 重要 的 SAN 技术 似乎 是 用 于 SCSI 总 线 连接 的 光纤 通道 改进 功能 。 

SAN 的 优势 可 以 表现 在 以 下 几 个 方面 。 

1) 高 数据 传输 速度 

以 光纤 为 接口 的 存储 网 络 SAN 提供 了 一 个 高 扩展 性 、 高 性 能 的 网 络 存储 机 构 。 光 
纤 交 换 机 、 光 纤 存 储 阵列 同时 提供 高 性 能 和 更 大 的 服务 器 扩展 空间 ,这 是 以 SCSI 为 基础 
的 系统 所 缺乏 的 。 同 样 ,为 企业 今后 的 应 用 提供 了 一 个 超 强 的 可 扩展 性 。 

2) 加 强 存 储 管理 

SAN 存储 网 络 各 组 成 部 分 的 数据 不 再 在 以 太 网 络 上 流通 ,从 而 大 大 提高 了 以 太 网 络 
的 性 能 。 正 由 于 存储 设备 与 服务 器 完全 分 离 ,用 户 获得 了 一 个 与 服务 器 分 开 的 存储 管理 
理念 。 复制 .备份 恢复 数据 趋向 和 安全 的 管理 可 以 中 央 的 控制 和 管理 手段 进行 。 加 上 把 
不 同 的 存储 池 (Storage Pools) 以 网 络 方式 连接 ,企业 可 以 任何 他 们 需要 的 方式 访问 他 们 
的 数据 ,并 获得 更 高 的 数据 完整 性 。 

3) 加 强 备份 /还 原 能 力 的 可 用 性 

SAN 的 高 可 用 性 是 基于 它 对 灾难 恢复 ,在线 备份 能 力 及 对 元 余 存储 系统 和 数据 的 时 
效 切换 能 力 而 来 。 

4) 同 种 服务 器 的 整合 

在 一 个 SAN 系统 中 ,服务 器 全 连接 到 一 个 数据 网 络 。 全 面 增加 对 一 个 企业 共有 存 
储 阵列 的 连接 ,高 效率 和 经 济 的 存储 分 配 可 以 通过 聚合 的 和 高 磁盘 使 用 率 获得 。 

综合 SAN 的 优势 , 它 在 高 性 能 数据 备份 /恢复 、 集 中 化 管理 数据 及 远程 数据 保护 领 
域 得 到 广泛 的 应 用 。 

11. SAN 与 NAS 的 比较 

SAN 和 NAS 是 目前 最 受 人 瞩目 的 两 种 数据 存储 方式 ,对 两 种 数据 方式 的 争论 也 一 
直 存 在 ,即使 继续 发 展 其 他 的 数据 存储 方式 ,也 或 多 或 少 和 这 两 种 方式 存在 联系 。NAS 
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和 SAN 有 一 个 共同 的 特点 ,就 是 实现 了 数据 的 集中 存储 与 集中 管理 ,但 相对 于 一 个 存储 
池 来 讲 ,SAN 和 NAS 还 是 有 很 大 差别 的 。NAS 是 独立 的 文件 服务 器 ,存储 操作 系统 不 
停留 在 通用 服务 器 端 ,因此 可 以 实现 同一 存储 池 中 数据 的 独 享 与 共享 ,而 SAN 中 的 数据 
是 基于 块 级 的 传输 ,文件 系统 仍 在 相应 的 服务 器 上 ,因此 对 于 一 个 混合 的 存储 池 来 讲 , 数 
据 仍 是 独立 存在 的 ,或 者 说 是 服务 器 在 独 享 存储 池 中 的 一 部 分 空间 。 这 两 个 存储 方案 的 
最 大 区 别 在 于 它们 的 访问 方法 。SAN 存储 网 络 系统 是 以 块 (Block) 级 的 方式 操作 而 
NAS 网 络 存储 系统 是 以 文件 (File) 级 的 方式 表达 ,这 意味 着 NAS 系统 对 于 文件 级 的 服 
务 有 着 更 高 效 和 快速 的 性 能 ,而 应 用 数据 块 (Block) 的 数据 库 应 用 和 大 数据 块 (Block) 的 
1/O 操作 则 是 SAN 优先 。 基 于 SAN 和 NAS 的 不 同 , 很 多 人 将 NAS 和 SAN 绝对 的 对 
立 起 来 ,就 当前 的 发 展 观点 来 看 ,这 一 绝对 的 对 立 是 不 能 被 市 场 接受 的 ,相反 ,更 多 的 数据 
存储 解决 方案 趋向 于 将 NAS 和 SAN 进行 融合 ,这 是 因为 以 下 因素 : 

。 一 些 分 散 式 的 应 用 和 用 户 要 求 访 问 相同 的 数据 ; 

对 提供 更 高 的 性 能 ,高 可 靠 性 和 更 低 的 拥有 成 本 的 专 有 功能 系统 的 高 增长 要 求 ; 
以 成 熟 和 习惯 的 网 络 标准 (包括 TCP/IP、NFS 和 CIFS) 为 基础 的 操作 ; 

一 个 获得 以 应 用 为 基础 而 更 具 商 业 竞 争 力 的 解决 方案 欲望 ; 

一 个 全 面 降低 管理 成 本 和 复杂 性 的 需求 ; 

一 个 不 需要 增加 任何 人 员 的 高 扩展 存储 系统 ; 

一 套 可 以 通过 重 构 系统 以 维持 当前 拥有 的 硬件 和 管理 人 员 的 价值 。 

由 于 在 一 个 位 置 融 合 了 所 有 存储 系统 ,用 户 可 以 从 管理 效率 、 使 用 率 和 可 靠 性 的 全 面 
提高 中 获得 更 大 的 好 处 。SAN 已 经 成 为 一 个 非常 流行 的 存储 集中 方案 ,因为 光纤 通道 能 
提供 非常 庞大 的 设备 连接 数量 ,连接 容易 ,因此 具备 存储 设备 与 服务 器 之 间 的 长 距离 连接 
能 力 。 同 样 地 ,这些 优 点 在 NAS 系统 中 也 能 体验 出 来 。 一 套 结合 SAN 和 NAS 的 解决 
方案 全 面 获得 应 用 光纤 通道 的 能 力 , 从 而 让 用 户 获 得 更 大 的 扩展 性 、 远 程 存储 和 高 性 能 等 
优点 。 同 样 ,这 种 存储 解决 方案 全 面 提供 一 套 在 以 块 (Block) 和 文件 (File)1/O 为 基础 的 
高 效率 平衡 功能 从 而 全 面 增强 了 数据 的 可 用 性 。 应 用 光纤 通道 的 SAN 和 NAS, 整 个 存 
储 方案 提供 对 主机 的 多 层面 的 存储 连接 、 具 有 高 性 能 、 高 价值 高 可 用 和 容易 维护 等 优点 ， 
这 全 由 一 个 网 络 结构 提供 。 

虽然 RAID 包含 多 块 硬盘 ,但 是 在 操作 系统 下 是 作为 一 个 独立 的 大 型 存储 设备 出 现 
的 。 利 用 RAID 技术 对 存储 系统 的 好 处 主要 有 以 下 三 种 。 

(1) 通过 把 多 个 磁盘 组 织 在 一 起 作为 一 个 逻辑 卷 提供 磁盘 跨越 功能 ; 

(2) 通过 把 数据 分 成 多 个 数据 块 (Block) 并 行 写 入 / 读 出 多 个 磁盘 以 提高 访问 磁盘 的 
速度 ; 

(3) 通过 镜像 或 校 验 操作 提供 容错 能 力 。 

最 初 开发 RAID 的 主要 目的 是 节省 成 本 ,当时 几 块 小 容量 硬盘 的 价格 总 和 要 低 于 大 
容量 的 硬盘 。 目 前 来 看 ,RAID 在 节省 成 本 方面 的 作用 并 不 明显 ,但 是 RAID 可 以 充分 发 
挥 多 块 硬盘 的 优势 ,实现 远 远 超 出 任何 一 块 单独 硬盘 的 速度 和 吞吐 量 。 除 了 性 能 上 的 提 
升 之 外 ,RAID 还 可 以 提供 良好 的 容错 能 力 , 在 任何 一 块 硬盘 出 现 问题 的 情况 下 都 可 以 继 
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续 工 作 , 不 会 受到 损坏 硬盘 的 影响 。 

RAID 技术 分 为 几 种 不 同 的 等 级 ,分别 可 以 提供 不 同 的 速度 .安全 性 和 性 价 比 。 根 据 
实际 情况 选择 适当 的 RAID 级 别 可 以 满足 用 户 对 存储 系统 可 用 性 .性 能 和 容量 的 要 求 。 
常用 的 RAID 级 别 有 以 下 几 种 : NRAID,JbOD,RAID 0,RAID 1,RAID 0 十 1,RAID 3， 
RAID 5 等 。 经 常 使 用 的 是 RAID 5 和 RAID(0 十 1)。 

12. 数据 恢复 案例 分 析 

1) 修复 重 装 XP 后 的 Ubuntu 引导 分 区 

由 于 Windows XP 崩溃 了 ,于 是 重 装 XP, 把 原来 的 Ubuntu 引导 分 区 表 硬盘 主导 记 
录 (Master Boot Record, MBR) 给 冲 掉 了 ,不 过 没关系 ,修复 一 下 MBR 就 可 以 了 。 首先 介 
绍 MBR 的 作用 : 当 启 动 计算 机 时 ,计算 机 首先 运行 Power on Self Test(POST), 即 加 电 
自 检 。POST 检测 系统 的 总 内 存 以 及 其 他 硬件 设备 的 现状 。 如 果 计 算 机 系统 的 BIOS( 基 
础 输入 /输出 系统 ) 是 即 插 即 用 的 ,那么 计算 机 硬件 设备 将 经 过 检验 并 完成 配置 。 计 算 机 
的 BIOS 定位 计算 机 的 引导 设备 ,然后 MBR 被 加 载 并 运行 。 如 果 用 户 仅 安装 Windows 98， 
则 被 自动 引导 到 桌面 ;如 果 是 Windows XP/2000/2003, 则 会 将 控制 权 交 给 NTLDR( 系 统 
加 载 器 ) ,调用 Boot. ini ,显示 多 重 选 单 文件 。 抹 MBR 就 是 抹 硬 盘 引 导 记 录 。 

当 重 装 了 Windows 以 后 ,由 于 硬盘 MBR 被 重 写 , 即 把 原来 MBR 中 grub 的 信息 清 
除了 ,那么 grub 自然 就 不 能 启动 了 ,也 就 不 能 引导 Linux 了 ,此 时 很 多 人 可 能 就 只 能 重 装 
Linux 了 ,但 其 实 只 需 简 单 地 对 MBR 修复 一 下 就 可 以 了 。 

下 面 介 绍 修复 mbr 的 方法 。 

首先 ,把 Ubuntu 的 安装 光盘 放 进 去 ,然后 启动 ,正常 进入 安装 界面 ,打开 终端 。 

(1) 输入 sudo grub。 

(2) 先 找 到 Ubuntu 的 启动 分 区 (就 是 /boot 目录 所 在 的 分 区 ) 。 

输入 : find /boot/grub/stagel, 回 车 之 后 显示 (hd0,2) 这 里 hd0 是 指 第 一 个 硬盘 ,2 
代表 第 3 个 分 区 , 即 Ubuntu 根 目录 所 在 分 区 (0 代表 第 一 个 分 区 ) 。 

(3) 输入 grub 二 root (hd0,2) 。 

(4) 输入 grub 二 setup (hd0) 。 如 果 出 现 succeeded ,就 表示 成 功 了 。 

(5) 输入 grub 二 quit, 然 后 重启 。 

如 果 有 多 个 硬盘 ,请 注意 一 点 ,如 果 你 的 Windows 装 在 第 一 块 磁盘 ,Linux 装 在 第 二 
块 磁盘 ,而 你 的 BIOS 设置 为 从 第 一 块 磁盘 启动 ,那么 在 进行 第 (3) 步 的 时 候 ,一 定 要 把 参 
数 设 为 第 一 块 磁盘 , 即 要 把 grub 装 人 引导 硬盘 的 MBR 里 。 当 然 , 比 较 傻瓜 的 方式 是 ,你 
可 以 将 grub 装 人 每 块 硬盘 的 MBR ,肯定 也 可 以 启动 ,这 只 是 一 个 先后 次 序 问题 。 

2) NTFS 格式 大 硬盘 数据 恢复 特殊 案例 

某 公司 一 块 80GB 迈 拓 金 九 硬盘 突然 进 不 了 分 区 ,提示 为 “无 法 访问 X: 参数 错误 ”。 
硬盘 上 为 该 公司 为 某 市 摄制 和 编辑 的 运动 会 视频 和 音频 文件 , 摄 录 磁 带 中 已 清除 ,运动 会 
也 不 可 能 再 开 一 次 。 

修复 过 程 : 该 硬盘 为 只 有 一 个 NTFS 分 区 的 数据 盘 , 先 在 DOS 下 用 扇 区 编辑 软件 查 
看 LBA0-63 扇 区 ,结果 发 现 分 区 表 和 63 扇 区 都 有 错误 ,1 一 62 扇 区 间 有 大 量 扇 区 被 写 上 
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不 明代 码 ,87 一 102 扇 区 不 正常 。 先 手工 修复 分 区 表 , 恢 复 63 引导 扇 区 ,删除 1 一 62 扇 区 
间 的 代码 。87 一 102 扇 区 暂 不 处 理 , 到 Windows 下 检查 ,结果 还 是 出 现 同样 的 提示 。 试 
用 恢复 软件 1, 可 以 看 到 目录 结构 ,再 试 FINALDATE, 不 太 尽 人 意 ;用 恢复 软件 1 选择 某 
目录 进行 试 恢复 ,结果 28 个 试 恢复 文件 只 恢复 2 个 ,其 余 的 全 部 为 0 字 节 ,恢复 工作 陷入 
困境 。 再 次 对 79 一 102 扇 区 进行 分 析 ,79 扇 区 面目 全 非 ,被 严重 自 改 破坏 ,80 一 86 扇 区 被 
清空 ,87 一 102 扇 区 的 内 容 也 不 正常 。 经 过 一 番 思 考 , 决 定 对 某 些 扇 区 进行 备份 后 清除 ， 
备份 被 放 到 1 一 62 扇 区 之 间 ,以 备 不 测 时 改 回 原样 。 

再 次 在 Windows 下 用 恢复 软件 1 进行 恢复 ,让 其 读 该 盘 约 10s ,停止 扫 描 ,看 到 的 内 
容 和 前 面 提 到 的 相同 ; 试 恢复 一 个 文件 夹 , 从 恢复 过 程 能 看 到 这 时 恢复 动作 正常 了 ,随后 
对 其 余 的 文件 和 文件 夹 进行 恢复 ;3 个 多 小 时 后 ,63. 9GB 资料 全 部 恢复 ,文件 中 AVI、 
WAV .PSD 和 其 他 格式 的 图 形 文件 ,逐个 打开 ,完全 正常 。 恢 复工 作 顺 利 结束 。 

后 来 有 人 分 析 说 这 个 分 区 应 该 是 2000 格式 化 出 来 的 , MFT 在 分 区 的 前 面 ,很 容易 被 
破坏 , 像 此 案例 里 面 87 一 102 扇 区 里 大 约 有 6 个 用 户 文件 /文件 夹 是 恢复 不 出 来 的 ,但 
102 扇 区 以 后 的 文件 应 该 能 完全 恢复 。 在 ntfs 里 面 , 一 般 90 扇 区 以 后 的 MFT 才 是 用 户 
的 文件 信息 ,前 面 是 系统 的 一 些 元 文件 ,对 数据 恢复 影响 不 大 。 

笔者 认为 NTFS 还 是 比较 先进 的 ,文件 碎片 都 放 在 一 个 MFT 里 面 ,只 要 这 个 扇 区 没 
有 被 破坏 ,就 可 以 恢复 。 

NTEFS 的 结构 确实 比较 复杂 ,正常 情况 下 所 有 的 操作 MFT 中 都 有 记录 。 但 是 ,哪些 
遍 区 被 使 用 ,哪些 没 被 使 用 ,这 些 概 念 还 是 很 有 用 的 。 

实验 盘 被 删除 79 一 102 扇 区 内 容 后 ,开机 后 不 需要 第 三 方 软件 ,文件 和 目录 直接 可 以 
读 出 拷贝 到 其 他 地 方 。 查 看 被 删除 扇 区 内 容 ,95 扇 区 后 的 内 容 都 自动 修复 了 ,看 来 MFT 
中 应 该 还 有 一 个 备份 ,或 是 具有 自动 修复 功能 。 

故障 盘 为 何不 能 自动 修复 且 不 让 访问 ?故障 盘 中 某 些 扇 区 看 来 是 被 利用 了 , 它 的 数 
据 恢复 是 通过 第 三 方 软件 得 到 的 ,对 第 三 方 软件 来 讲 .就 算 格式 化 了 , 绝 大 部 分 数据 还 是 
能 找 回来 的 。 

















本 章 小 结 


本 章 首先 介绍 了 数据 备份 的 概念 和 常用 方法 。 数 据 备 份 的 目的 是 在 设备 发 生 故 障 或 
发 生 其 他 威胁 数据 安全 的 灾害 时 保护 数据 ,将 数据 损失 减少 到 最 低 。 掌 握 备份 技术 是 非 
常 重要 的 。 备 份 技术 应 该 全 方位 、 多 层次 ,构成 对 系统 的 多 级 防护 ,确保 信息 系统 在 受到 
破坏 或 威胁 时 正常 运转 。 


习 题 


1. 什么 是 备份 ? 理想 的 备份 系统 应 该 包含 哪些 内 容 ? 
2. 简 述 备份 的 方式 、 层 次 和 类 型 。 


人 0 站 中外 必 办 
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.如 何 设计 日 常备 份 制度 ? 

.比较 硬盘 .光盘 和 磁带 三 种 备份 技术 。 

. 安全 恢复 计划 应 考虑 哪些 问题 ? 

. 安全 风险 评估 主要 有 哪些 步骤 ? 

. 简 述 安全 恢复 的 主要 实现 方法 。 

. 分 析 灾 难 恢复 计划 步骤 , 找 出 其 中 的 内 在 联系 。 


信息 安全 管理 


学 习 目标 

。 了 解 信 息 安全 管理 的 概念 ; 
。 掌握 信息 安全 保障 体系 ; 

。 掌握 信息 安全 管理 标准 ; 

。 掌握 信息 安全 管理 控制 规范 。 


9.1 信息 安全 管理 概述 


信息 安全 管理 不 只 是 写 在 书 上 、 挂 在 墙 上 的 标准 规范 ,而 是 与 我 们 的 日 常生 活 工作 紧 
密 联系 的 ,从 大 的 方针 制度 到 我 们 做 的 每 一 件 事 、 说 的 每 一 句 话 ,可 能 都 和 信息 安全 管理 
有 关 , 那 些 信 息 安全 管理 的 标准 和 规范 ,实际 上 很 多 都 是 由 我 们 实践 中 得 到 的 最 佳 经 验 。 

不 仅 是 在 日 常生 活 中 ,在 信息 化 的 建设 中 也 存在 很 多 问题 ,人 们 把 太 多 的 精力 放 在 系 
统 的 业务 功能 、 建 设 和 维护 系统 所 需 的 费用 、 建 设 系统 的 时 间 上 ,关注 系统 的 界面 漂 不 漂 
亮 , 方 不 方便 ,以 及 系统 的 性 能 好 不 好 。 而 安全 ,往往 是 最 容易 被 忽略 的 问题 。 那 么 为 什 
么 安全 问题 最 容易 被 忽略 ?为 什么 会 出 现 这 样 的 情况 ? 那 是 因为 “五 个 缺乏 ”。 

首先 是 缺乏 意识 。 在 信息 安全 管理 中 ,人 是 最 主要 的 因素 ,信息 安全 场景 中 的 很 多 问 
题 都 是 人 的 问题 ,有 的 人 是 缺乏 安全 意识 ,根本 就 没 往 安 不 安全 方面 想 , 就 像 有 人 说 的 “ 脑 
子 里 没有 这 根 弦 ,有 的 人 觉得 无 所 谓 ,原本 是 带 秘 级 的 文件 ,可 他 却 觉得 内 容 好 像 也 没有 
什么 特别 重要 的 ,不 会 泄 什么 密 ,没有 什么 风险 。 

第 二 个 是 缺乏 目标 。 有 单位 领导 说 :“ 听 说 信息 安全 工作 很 重要 ,可 是 我 不 知道 对 于 
我 们 单位 来 说 到 底 有 多 重要 ,也 不 知道 究竟 有 哪些 信息 是 需要 保护 的 。" 这 就 是 缺乏 目标 ， 
有 了 目标 才能 明确 要 保护 的 对 象 。 

第 三 个 缺乏 是 缺乏 策略 。 例 如 要 求 管理 员 要 把 个 人 计算 机 的 登录 口令 设置 好 ,可 是 
该 怎么 设置 才 符合 要 求 呢 ? 这 就 需要 相应 的 口令 设置 策略 。 策 略 就 是 “我 不 知道 该 怎么 
做 ,你 告诉 我 怎么 做 ”。 例 如 网 站 屡屡 被 攻击 ,该 怎么 防范 ? 例如 网 络 泄密 了 , 谁 来 承担 责 
任 ? 这 些 都 需要 策略 来 明确 。 

第 四 个 是 缺乏 组 织 。 组 织 的 建立 可 以 解决 “领导 不 重视 ,工作 难 做 ?之 类 的 问题 。 这 
个 组 织 中 , 既 要 有 管理 者 ,又 要 有 执行 层 ; 既 要 有 决策 者 ,又 要 有 技术 人 员 、 相 关 的 业务 人 
员 , 还 要 有 审核 人 员 和 审计 人 员 。 这 样 才能 保证 一 个 项 目的 完成 和 一 个 系统 的 正常 建设 
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第 五 是 缺乏 技术 。 技 术 和 信息 安全 以 及 信息 安全 管理 的 关系 以 后 再 讲 。 

所 以 我 们 首先 要 先 有 安全 保护 的 意识 ,再 明确 安全 保护 的 目标 ,然后 制定 安全 保护 的 
策略 ,再 要 建立 相应 的 组 织 , 从 管理 层 到 执行 层 , 既 有 决策 者 ,又 有 技术 人 员 ,然后 提供 合 
适 的 技术 来 保证 信息 和 信息 系统 的 安全 。 

信息 安全 的 成 败 取 决 于 两 个 因素 : 技术 和 管理 ,下 面 来 看 一 看 技术 和 管理 的 关系 。 

有 人 句 俗 语 :“ 魔 高 一 尺 , 道 高 一 丈 ”, 意 思 是 正义 始终 压倒 收 恶 ,可 是 对 于 技术 来 说 , 却 
是 “ 道 高 一 尺 , 魔 高 一 丈 ”, 不 管 是 什么 安全 技术 ,总 是 会 有 它 的 弱点 ,没有 绝对 的 安全 ,而 
且 安 全 问题 总 是 在 意 想不到 的 时 间 和 地 点 发 生 的 。 

而 且 对 于 一 台 计算 机 来 说 ,考虑 安全 问题 可 以 只 从 技术 的 角度 来 考虑 ,而 对 于 一 个 组 
织 来 说 , 它 的 安全 问题 首先 却 是 个 管理 问题 。 信 息 安全 管理 必须 以 技术 为 依托 ,以 风险 管 
理 为 核心 ,以 组 织 的 信息 资产 为 管理 对 象 ,做 到 风险 可 评估 ,安全 可 管理 ,资产 须 保护 ( 风 
险 必须 是 可 评估 的 ,安全 问题 必须 是 可 管理 的 ,资产 必须 得 到 足够 的 保护 ) 。 


9.1.1 信息 安全 管理 的 意义 


目前 组 织 对 信息 安全 管理 基本 上 还 处 在 一 种 静态 的 、 局 部 的 .少数 人 负责 的 突击 式 
的 、 事 后 纠正 式 的 管理 方式 ,不 能 从 根本 上 避免 .降低 各 类 风险 ,也 不 能 减轻 信息 安全 故障 
导致 的 综合 损失 。 

随 着 信息 技术 的 发 展 . 电 子 商 务 及 Internet 应 用 的 普及 ,大 家 普遍 认识 到 解决 信息 安 
全 问题 不 应 仅 从 技术 方面 着 手 , 同 时 更 应 加 强 信息 安全 的 管理 工作 ,通过 建立 正规 的 信息 
安全 管理 体系 以 达到 系统 ,全 面 地 解决 信息 安全 问题 的 目的 。 基 于 这 种 认识 ,提出 了 “三 
分 技术 ,七 分 管理 ”的 信息 安全 原则 。 

一 项 令 人 肖 表 的 调查 结果 显示 : 虽然 90%% 的 系统 安装 有 防 病毒 软件 ,但 这 些 系统 中 
依然 有 85% 感 染 了 计算 机 病毒 ;虽然 89% 的 系统 安装 有 防火 墙 ,60% 的 系统 安装 有 入侵 
检测 系统 ,但 这 些 系统 中 依然 有 90% 有 安全 漏洞 ,40% 遭 受 了 外 来 的 入侵 。 可 以 看 出 安全 
技术 是 信息 安全 的 构筑 材料 ,安全 管理 是 真正 的 黏合 剂 和 催化 剂 。 

现实 世界 中 大 多 数 安全 事件 的 发 生 和 安全 隐患 的 存在 ,与 其 说 是 技术 上 的 原因 ,不 如 
说 是 管理 不 善 造成 的 ,理解 并 重视 管理 对 于 信息 安全 的 关键 作用 ,对 于 真正 实现 信息 安全 
目标 来 说 尤其 重要 。 

信息 安全 管理 (Information Security Management) 作 为 组 织 完整 的 管理 体系 中 一 个 
重要 的 环节 ,构成 了 信息 安全 具有 能 动 性 的 部 分 ,是 指导 和 控制 组 织 关于 信息 安全 风险 的 
相互 协调 的 活动 ,其 针对 对 象 就 是 组 织 的 信息 资产 。 

安全 事故 致 因 核心 理论 一 一 能 量 意 外 释放 理论 (1961 年 吉布森 提出 ,1966 年 美国 运 
输 部 安全 局 局 长 哈 登 完善 ) ,归纳 了 造成 事故 的 三 个 原因 : 人 的 不 安全 行为 . 物 的 不 安全 
状态 和 管理 的 缺陷 。 

人 和 物 这 两 方面 的 因素 已 经 被 大 家 广泛 认可 ,但 管理 的 缺陷 却 往往 容易 被 忽视 。 管 
理 上 的 缺陷 往往 是 造成 事故 的 最 重要 的 因素 .应 该 引起 我 们 的 高 度 重视 。 例 如 国内 发 生 
的 两 起 重大 的 铁路 交通 事故 就 是 最 好 的 例子 。 一 是 “4. 28” 胶 济 铁 路 特别 重大 交通 事故 。 
一 场 近 10 年 来 中 国 铁路 行业 罕见 的 列车 相 撞 事 故 在 胶 济 铁路 上 瞬间 发 生 ,北京 开 往 青岛 
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的 T195 次 列车 运行 到 胶 济 铁路 周 村 至 王 村 之 间 时 脱 线 , 与 上 行 的 烟台 至 徐州 的 5034 次 
列车 相 撞 ,造成 72 人 死亡 ,416 人 受伤 ,其 中 重伤 74 人 ,事故 后 果 严 重 ,给 国家 和 人 民生 
命 财 产 安全 造成 重大 损失 。 这 次 事故 正如 国务 院 事 故 调查 组 组 长 、 安 监 总 局 局 长 王 君 所 
说 ,是 一 起 典型 的 由 于 管理 上 的 失误 导致 的 事故 ,不 是 天 灾 , 而 是 人 祸 , 是 一 场 人 为 引起 
的 完全 可 以 避免 的 事故 。 这 也 充分 暴露 了 一 些 企业 安全 生产 意识 不 到 位 、 领 导 不 到 位 、 
安全 生产 责任 不 到 位 、 安 全 生产 措施 不 到 位 隐患 排 查 治理 不 到 位 和 监督 管理 不 到 位 等 严 
重 问题 ,也 反映 了 基层 安全 意识 薄弱 ,现场 管理 存在 严重 漏洞 ,安全 生产 责任 没有 得 到 真 
正 落实 。 另 一 起 事故 发 生 在 2010 年 7 月 23 日 ,前 温 线 浙江 省 温州 市 内 ,由 北京 南 站 开 往 
福州 站 的 D301 次 列车 与 杭州 开 往 福州 南 站 的 D3115 次 列车 发 生动 车 组 列车 追尾 事故 ， 
402 人 死亡 ,172 人 受伤 ,中 断 行车 32 小 时 ,直接 经 济 损失 19 371. 65 万 元 。2011 年 12 月 
25 日 发 布 的 国务 院 “7. 23” 特 别 重大 铁路 交通 事故 调查 报告 认定 该 事故 发 生 的 原因 是 : 
通 号 集团 所 属 通 号 设计 院 在 LKD2-T1 型 列 控 中 心 设备 研发 中 管理 混乱 , 通 号 集团 作为 
前 温 线 通 信 信 号 集成 总 承包 商 履行 职责 不 力 , 致 使 为 前 温 线 温州 南 站 提供 的 LKD2-T1 
型 列 控 中 心 设备 存在 严重 设计 缺陷 和 重大 安全 隐患 。 铁 道 部 在 设备 招 投标 、 技 术 审 查 、 上 
道 使 用 等 方面 违规 操作 .把关 不 严 ,致使 其 在 温州 南 站 上 道 使 用 。 当 温州 南 站 列 控 中 心 采 
集 驱 动 单元 采集 电路 电源 回路 中 某 保 险 管 遭 雷击 熔断 后 ,采集 数据 不 再 更 新 ,错误 地 控制 
轨道 电路 发 码 及 信号 显示 ,使 行车 处 于 不 安全 状态 。 雷 击 也 造成 5829AG 轨道 电路 发 送 
器 与 列 控 中 心 通信 故障 ,使 从 永嘉 站 出 发 驶 向 温州 南 站 的 D3115 次 列车 超速 防护 系统 自 
动 制 动 ,在 5829AG 区 段 内 停车 。 由 于 轨道 电路 发 码 异 常 ,导致 其 三 次 转 目 视 行车 模式 起 
车 受阻 ,7 分 40 秒 后 才 转 为 目 视 行车 模式 ,以 低 于 20km/h 的 速度 向 温州 南 站 缓慢 行驶 ， 
未 能 及 时 驶 出 5829 闭塞 分 区 。 因 温州 南 站 列 控 中 心 管辖 的 5829 闭塞 分 区 及 后 续 两 个 闭 
塞 分 区 防护 信号 错误 地 显示 绿灯 ,向 D301 次 列车 发 送 无 车 占用 码 , 导 致 D301 次 列车 驶 
向 D3115 次 列车 并 发 生 追 尾 。 上 海 铁路 局 有 关 作 业 人 员 安 全 意识 不 强 , 在 设备 故障 发 生 
后 ,未 认真 正确 地 履行 职责 ,故障 处 置 工作 不 得 力 ,未 能 起 到 可 能 避免 事故 发 生 或 减轻 事 
故 损失 的 作用 。 报 告 将 事故 性 质 确定 为 一 起 因 列 控 中 心 设备 存在 严重 设计 缺陷 、 上 道 使 
用 审查 把 关 不 严 、 雷 击 导致 设备 故障 后 应 急 处 置 不 力 等 因素 造成 的 责任 事故 。 从 这 些 事 
故 中 我 们 可 以 充分 认识 到 管理 的 缺陷 所 带 来 的 灾难 性 打击 是 多 么 的 严重 。 

在 所 有 计算 机 安全 事件 发 生 的 原因 中 ,属于 管理 方面 的 高 达 70% 以 上 ,或 者 说 ,能 对 
组 织造 成 巨大 损失 的 风险 主要 还 是 来 自 组 织 内 部 。 与 20 多 年 前 大 型 计算 机 要 受到 严密 
看 守 ,由 技术 专家 管理 的 情况 相 比 ,今天 计算 机 技术 已 非常 成 熟 , 无 处 不 在 。 而 今天 的 计 
算 机 使 用 者 大 都 很 少 受 到 严格 的 培训 ,每 天 都 在 以 不 安全 的 方式 处 理 着 企业 的 大 量 重要 
信息 ,而 且 企业 的 贸易 伙伴 ,咨询 顾问 .合作 单 位 等 外 部 人 员 都 以 不 同 的 方式 使 用 着 企业 
的 信息 系统 ,他 们 都 对 企业 的 信息 系统 构成 了 潜在 的 威胁 。 例 如 ,员工 为 了 方便 记忆 而 将 
系统 登录 密码 粘贴 在 桌面 或 显示 器 边 上 的 便条 上 ,就 足以 毁 掉 花费 了 大 量 人 力 和 物力 建 
立 起 来 的 信息 安全 系统 。 许 多 对 企业 不 满 的 员工 * 黑 ? 掉 公 司 的 网 站 偷窃 并 散布 客户 敏 
感 资料 ,为 竞争 对 手提 供 机 密 技 术 或 商业 数据 .甚至 破坏 关键 计算 机 系统 ,使 企业 遭受 巨 
大 的 损失 。 
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9.1.2 ”信息 安全 管理 的 相关 概念 


数据 经 过 解释 得 到 信息 ,大 量 信息 的 积累 和 学 习 使 人 们 对 某 个 方面 有 了 认识 。 从 数 
据 到 信息 再 到 知识 的 过 程 ,就 是 从 具体 到 抽象 的 过 程 ,从 信息 到 知识 对 人 们 的 决策 所 起 到 
的 指导 作用 更 大 ,会 对 现实 的 工作 学 习 和 生活 产生 影响 。 

我 们 已 经 了 解 了 信息 和 安全 的 概念 ,那么 什么 是 “管理 ? 呢 ? 

《 康 申 字典 ) 里 对 “ 管 " 的 定义 是 : 指 细 长 的 圆 简 形 物 ,用 得 比较 多 的 物件 有 管状 乐器 、 
钥匙 等 ,( 左 传 } 里 * 郑 人 使 我 掌 其 北 门 之 管 ", 此 处 * 管 " 即 钥匙 。 从 钥匙 引申 出 的 是 枢 要 、 
保管 看管, 管束 等 义 。“ 理 ”的 本 义 是 指 玉 石 的 纹路 ,表示 “规律 "和 “原则 ”。“ 理 ”做 动词 
时 的 本 义 是 “ 治 玉 ”, 即 把 玉石 雕琢 加 工 , 制 成 玉器 ,所 以 引申 出 ”治理 ”整理 ”的 意思 ,如 修 
理 、 理 财 。 

创造 “管理 ”这 个 词 是 因为 “ 管 " 和 * 理 ”都 不 能 包含 所 要 表达 的 意思 ,但 是 两 者 加 起 来 
基本 就 是 那个 意思 了 ,因此 “管理 ”=“ 管 ”十 “ 理 ”。 管 理 是 一 种 活动 ,是 活动 就 一 定 有 主体 
和 客观 (活动 者 和 对 象 ) 。 

“ 管 " 就 是 将 对 象限 制 在 一 个 狭小 的 范围 之 内 进行 看 管 ,这 个 对 象 对 我 们 来 说 是 很 重 
要 的 ,必须 在 我 们 的 控制 之 下 。 接 下 来 就 是 “ 理 ”: 因为 这 个 对 象 有 自己 的 纹理 、 条 理 、 道 
理 和 规律 ,所 以 我 们 必须 充分 了 解 对 象 自身 的 规律 ,并 根据 这 些 规律 对 对 象 进行 整理 或 治 
理 , 最 终 达 到 一 个 使 我 们 满意 的 理想 状态 或 目标 。 

用 一 句 话 来 概括 就 是 : 管理 一 一 是 主体 (人 ) 通 过 客体 (对 象 ) 来 实现 自己 的 目的 的 一 
种 活动 。 

什么 是 信息 安全 管理 ? 组 织 中 为 了 完成 信息 安全 目标 ,针对 信息 系统 ,遵循 安全 策 
略 ,按照 规定 的 程序 ,运用 恰当 的 方法 ,而 进行 的 规划 、 组 织 , 指 导 、\ 协 调和 控制 等 活动 。 也 
就 是 人 通过 一 系列 的 活动 实现 自己 的 目标 ,这 个 目标 就 是 信息 安全 。 这 一 系列 的 活动 就 
是 根据 信息 安全 系统 的 特点 和 规律 ,调动 人 力 .财力 ,技术 和 各 种 资源 ,遵循 相应 的 安全 策 
略 , 运 用 恰当 的 方法 ,来 保障 信息 和 信息 系统 的 安全 。 


9.1.3 信息 安全 管理 模型 


信息 安全 管理 从 信息 系统 的 安全 需求 出 发 ,以 信息 安全 管理 相关 标准 为 指导 ,结合 
织 的 信息 系统 安全 建设 情况 ,引入 合乎 要 求 的 信息 安全 等 级 保护 的 技术 控制 措施 和 管理 
控制 规范 与 方法 ,在 信息 安全 保障 体系 基础 上 建立 信息 安全 管理 体系 。 

信息 安全 需求 是 信息 安全 的 出 发 点 , 它 包 括 保密 性 需求 .完整 性 需求 可 用 性 需求 . 抗 
抵赖 性 需求 .可 控制 性 需求 和 可 靠 性 需求 等 。 信 息 安 全 管理 范围 是 由 信息 系统 安全 需求 
决定 的 具体 信息 安全 控制 点 ,对 这 些 实施 适当 的 控制 措施 可 确保 组 织 相应 环节 的 信息 安 
全 ,从 而 保证 整个 组 织 的 整体 信息 安全 水 平 。 信 息 安 全 管理 标准 是 在 一 定 范围 内 获得 的 
关于 信息 安全 管理 的 最 佳 秩序 ,对 信息 安全 管理 活动 或 结果 规定 共同 的 和 重复 使 用 的 具 
有 指导 性 的 规则 、 导 则 或 特性 的 文件 。 

信息 安全 管理 控制 规范 是 为 改善 具体 信息 安全 问题 而 设置 的 技术 或 管理 手段 ,并 运 
用 信息 安全 管理 相关 方法 来 选择 和 实施 控制 规范 ,为 信息 安全 管理 体系 服务 。 信 息 安 全 
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保障 体系 则 是 保障 信息 安全 管理 各 环节 、 各 对 象 正常 动作 的 基础 ,在 信息 安全 保障 过 程 
中 ,要 实施 信息 安全 工程 。 

什么 是 管理 体系 ? 体系 (system) 就 是 相互 关联 和 相互 作用 的 一 组 要 素 ; 管理 体系 
(management system) 就 是 人 通过 建立 方针 和 目标 并 实现 这 些 目标 的 体系 。 

目前 的 管理 体系 有 很 多 类 ,成 熟 的 管理 体系 有 : 

。 质量 管理 体系 (QMS) ISO/TEC9000,9001,9004 等 ; 

。 环境 管理 体系 (EMS) ISO/VIEC14000; 

。 信息 安全 管理 体系 (ISMS)ISO/IEC17799,ISO/IEC27001 等 。 


9.2 ”信息 安全 保障 


9.2.1 信息 安全 保障 发 展 过 程 


信息 安全 保障 经 过 了 通信 安全 (Communication Security, COMSEC) .计算 机 安全 
(Computer Security,COMPUSEC) ,信息 系统 安全 (Information Security, INFOSEC) 、 信 
息 安 全 保障 (Information Assurance,IA) 、 网 络 空间 安全 /信息 安全 保障 (Cyber Security/ 
Information Assurance,CS/IA) 五 个 发 展 阶 段 。 

通信 安全 发 展 阶段 ,主要 从 20 世纪 40 年 代 开始 到 70 年 代 末 。 该 阶段 的 核心 思想 是 
通过 密码 技术 解决 通信 保密 ,保证 数据 的 保密 性 和 完整 性 ,该 阶段 主要 关注 传输 过 程 中 的 
数据 保护 、 安 全 威胁 (包括 搭 线 窃 听 、 密 码 学 分 析 等 )、 安 全 措施 (包括 加 密 )。 这 一 阶段 的 
主要 标志 有 1949 年 Shannon 发 表 的 《保密 通信 的 信息 理论 》1977 年 美国 国家 标准 局 公 
布 的 数据 加 密 标准 DES、1976 年 Diffie 和 Hellman 在 “New Directions in Cryptography” 
一 文中 提出 的 公 钥 密码 体系 。 

计算 机 安全 阶段 ,主要 是 指 20 世纪 70 一 90 年 代 , 该 阶段 的 核心 思想 是 预防 .检测 和 
减 小 计算 机 系统 (包括 软件 和 硬件 ) 用 户 ( 授 权 和 未 授权 用 户 ) 执 行 的 未 授权 活动 所 造成 的 
后 果 ,主要 关注 于 数据 处 理 和 存储 时 的 数据 保护 。 该 阶段 的 安全 威胁 包括 非法 访问 、 恶 意 
代码 、 脆 弱 口 令 等 ,采取 的 安全 措施 主要 是 安全 操作 系统 设计 技术 (TCB)。 其 标志 
1985 年 美国 国防 部 的 可 信 计 算 机 系统 评估 保障 (TCSEC, 橙 皮 书 ), 将 操作 系统 安全 分 级 
(D.C1、C2、B1、B2、B3、A1), 后 补充 红皮书 TNI(1987) 和 TDI(1991) ,发 展 为 彩虹 
(rainbow) 系列 。 

信息 系统 安全 阶段 ,主要 是 指 20 世纪 90 年 代 后 ,该 阶段 的 核心 思想 是 综合 通信 安全 
和 计算 机 系统 安全 ,重点 在 于 保护 比 “ 数 据 ” 更 精炼 的 “信息 ”, 确 保 信息 在 存储 、 处 理 和 传 
输 过 程 中 免 受 偶然 或 恶意 的 非法 泄密 ,转移 或 破坏 。 主 要 的 安全 威胁 有 网 络 入 侵 、 病 毒 破 
坏 、 信 息 对 抗 等 。 采取 的 安全 措施 包括 防火 墙 \ 防 病毒 漏洞 扫描 、 入 侵 检测 、PKI、VPN 
等 ,其 标志 主要 是 安全 评估 保障 CC(ISO 15408,GB/T 18336)。 

信息 安全 保障 阶段 ,主要 是 指 21 世纪 2000 年 以 后 ,其 核心 思想 包括 : 保障 信息 和 
信息 系统 资产 ,保障 组 织 机 构 使 命 的 执行 ; @ 综 合 技术 管理 过程、 人 员 ; 四 确保 信息 的 
保密 性 完整 性 和 可 用 性 。 其 安全 威胁 包括 黑客 、 慌 怖 分 子 、 信 息 战 . 自 然 灾难 .电力 中 断 
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等 。 采取 的 安全 措施 包括 技术 安全 保障 体系 、 安 全 管理 体系 、 人 员 意 识 / 培 训 / 教 育 、 认 证 
和 认可 。 这 一 阶段 的 标志 包括 美国 国防 部 的 IATF 深度 防御 战略 技术 、BS7799/ISO 
17799 管理 规范 、 美 国 国 防 部 DITSCAP 系统 认证 措施 。 

网 络 空间 安全 /信息 安全 保障 阶段 ,主要 是 指 21 世纪 2010 年 以 后 ,在 美国 带动 下 , 世 
界 各 国信 息 安全 政策 .技术 和 实践 等 发 生 重大 变革 。 世 界 各 国 的 共识 是 网 络 安全 问题 已 
上 升 到 国家 安全 的 重要 程度 。 其 核心 思想 是 从 传统 防御 的 信息 保障 (IA) ,发 展 到 "威慑 ” 
为 主 的 防御 ,攻击 和 情报 三 位 一 体 的 信息 保障 /网 络 安全 (IA/CS) 的 网 空 安全 ,包括 网 络 
防御 Defense( 运 维 )、 网络 攻击 一 一 Offense (威慑 ) 和 网 络 利 用 一 一 Exploitation 
(情报 )。 


9.2.2 信息 保障 技术 框架 


信息 保障 技术 框架 (Information Assurance Technical Framework,IATF) 是 美国 国 
家 安全 局 (NSA) 制 定 的 ,为 保护 美国 政府 和 工业 界 的 信息 与 信息 技术 设施 提供 技术 指 
南 。IATF 的 代表 理论 为 “深度 防御 (Defense-in-Depth)”。 

在 关于 实现 信息 保障 目标 的 过 程 和 方法 上 ,IATF 论述 了 系统 工程 、 系 统 采购 、 风 险 
管理 ,认证 和 鉴定 以 及 生命 周期 支持 等 过 程 ,指出 了 一 条 较为 清晰 的 建设 信息 保障 体系 的 
途径 。 

何谓 “深度 防御 ”? IATF 强调 人 技术、 操作 这 三 个 核心 要 素 , 从 多 种 不 同 的 角度 对 
信息 系统 进行 防护 。IATF 关注 四 个 信息 安全 保障 领域 : 本 地 计算 环境 、 区 域 边界 、 网 络 
和 基础 设施 ,支撑 性 基础 设施 

在 此 基础 上 ,对 信息 和 信息 系统 就 可 以 做 到 多 层 防 护 , 实 现 组 织 的 任务 /业务 运作 。 
这 样 的 防护 被 称 为 “深度 防护 战略 (Defense-in-Depth Strategy)”。 

IATF 的 三 要 素 如 下 。 

(1) 人 (People) : 信息 保障 体系 的 核心 ,是 第 一 位 的 要 素 , 同 时 也 是 最 脆弱 的 。 基 于 
这 样 的 认识 ,安全 管理 在 安全 保障 体系 中 愈 显 重要 ,包括 意识 培训 、 组 织 管理 .技术 管理 、 
操作 管理 等 。 

(2) 技术 (Technology): 技术 是 实现 信息 保障 的 重要 手段 。 动 态 的 技术 体系 实现 防 
护 、 检 测 .响应 .恢复 。 

(3) 操作 (Operation) : 也 叫 运行 :以 构成 安全 保障 的 主动 防御 体系 ,是 将 各 方面 技术 
紧密 结合 在 一 起 的 主动 的 过 程 ,包括 风险 评估 安全 监控 ,安全 审计 、 跟 踪 告 警 . 人 侵 检 测 、 
响应 恢复 等 。 

IATF 定义 了 四 个 主要 的 技术 焦点 领域 : 本 地 计算 环境 区域 边界 ,网络 和 基础 设施 、 
支撑 性 基础 设施 。 这 四 个 领域 构成 了 完整 的 信息 保障 体系 所 涉及 的 范围 。 在 每 个 领域 范 
围 内 ,IATF 都 描述 了 其 特有 的 安全 需求 和 相应 的 可 供 选择 的 技术 措施 。 

1. 保护 计算 环境 

目标 : 使 用 信息 保障 技术 确保 数据 在 进入 、 离 开 或 驻 留 客户 机 和 服务 器 时 具有 保密 
性 、 完 整 性 和 可 用 性 。 

方法 : 采用 安全 的 操作 系统 、 安 全 的 应 用 程序 安全 消息 传递 .安全 浏览 文件 保护 、 
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主机 入 侵 检测 \ 防 病毒 系统 、 主 机 脆弱 性 扫描 、 文 件 完整 性 保护 等 。 

2. 保护 区 域 边 界 

什么 是 边界 ?“ 域 ” 指 由 单一 授权 通过 专用 或 物理 安全 措施 所 控制 的 环境 ,包括 物理 
环境 和 逻辑 环境 。 区 域 的 网 络 设备 与 其 他 网 络 设备 的 接 人 点 被 称 为 “区域 边 界 ”。 

目标 : 对 进出 某 区 域 (物理 区 域 或 逮 辑 区 域 ) 的 数据 流 进行 有 效 的 控制 与 监视 。 

方法 : 病毒 .恶意 代码 防御 、 防 火 墙 \, 人 侵 检测 ,边界 护卫 、 远 程 访问 、 多 级 别 安全 。 

3. 保护 网 络 和 基础 设施 

目标 : 网 络 和 支持 它 的 基础 设施 必须 防止 数据 非法 泄露 .防止 受到 拒绝 服务 的 攻击 、 
防止 受到 保护 的 信息 在 发 送 过 程 中 的 时 延误 传 或 未 发 送 。 

方法 : 骨干 网 可 用 性 .无线 网 络 安全 框架 .系统 高 度 互 联 和 虚拟 专用 网 。 

4. 保护 支撑 性 基础 设施 

目标 : 为 安全 保障 服务 提供 一 套 相互 关联 的 活动 与 基础 设施 ,包括 密 钥 管 理 功能 和 
检测 和 响应 功能 。 

方法 : 密 钥 管 理 、 优 先 权 管理 ,证 书 管理 .入侵 检 测 、 审 计 、 配 置 、 信 息 调 查 与 收集 。 

以 WPDRRC 安全 体系 模型 为 例 , 我 国 863 信息 安全 专家 组 博采众长 推出 该 模型 ,全 
面 涵 盖 了 各 个 安全 因素 ,突出 了 人 ,策略 ,管理 的 重要 性 ,反映 了 各 个 安全 组 件 之 间 的 内 在 
联系 。 

。 人 一 一 核心 ; 

。 政策 (包括 法 律 .法规 ,制度 .管理 ) 一 一 桥梁 ; 

。 技术 一 一 落实 在 WPDRRC 六 个 环节 的 各 个 方面 ,在 各 个 环节 中 起 作用 。 

预警 : 采用 多 检测 点 数据 收集 和 智能 化 的 数据 分 析 方法 检测 是 否 存在 某 种 恶意 的 攻 
击 行为 ,并 评测 攻击 的 威胁 程度 \ 攻 击 的 本 质 、 范 围 和 起 源 ,同时 预测 敌 方 可 能 的 行动 。 

保护 : 采用 一 系列 的 手段 (识别 .认证 ,授权 访问 控制 .数据 加 密 ) 保 障 数据 的 保密 
性 ,完整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 等 。 

检测 : 利用 高 技术 提供 的 工具 检查 系统 存在 的 可 能 提供 黑客 攻击 .白领 犯罪 .病毒 泛 
滥 脆 弱 性 , 即 检测 系统 脆弱 性 检测 ,包括 人 侵 检测 、 病 毒 检 测 。 

响应 : 对 危及 安全 的 事件 行为 .过 程 及 时 做 出 响应 处 理 , 杜 绝 危 害 的 进一步 草 延 扩 
大 ,力求 系统 尚 能 提供 正常 服务 。 包 括 审计 跟踪 .事件 报警 .事件 处 理 。 

恢复 : 一 旦 系统 遭 到 破坏 ,将 采取 一 系列 的 措施 ,如 文件 的 备份 ,数据库 的 自动 恢复 
等 ,以 尽快 恢复 系统 功能 ,提供 正常 服务 。 

反击 : 利用 高 技术 工具 取得 证 据 , 作 为 犯罪 分 子 犯 罪 的 线索 和 犯罪 依据 ,依法 侦查 处 
置 犯 罪 分 子 。 


9.3 信息 安全 管理 体系 
“信息 安全 管理 体系 (ISMS) "已 经 成 为 一 个 专 有 名 词 , 它 的 推广 和 应 用 渐渐 成 为 信息 


安全 产业 中 又 一 项 新 的 业务 领域 。 
信息 安全 管理 体系 是 组 织 整体 管理 体系 的 一 部 分 ,基于 业务 风险 方法 以 建立 实施 、 


第 9 章 ， 信 息 安全 管理 加 人 
运行 .监视 .评审 、 保 持 和 改进 信息 安全 。 


组 织 通 过 了 ISO 27001 和 ISO 27002 的 认证 ,就 相当 于 通过 了 ISO 9000 的 质量 认 
证 ,表明 组 织 信息 安全 管理 已 建立 了 一 套 科学 有 效 的 管理 体系 作为 保障 。 

从 理念 上 看 ,以 前 信息 安全 强调 的 是 “规避 风险 ”, 即 防止 发 生 破坏 并 提供 保护 ,但 破 
坏 发 生 时 无 法 挽回 ;而 信息 保障 强调 的 是 “风险 管理 ", 即 综合 运用 保护 .检测 .响应 和 恢复 
等 多 种 措施 ,使 得 信息 在 攻击 突破 某 层 防御 后 , 仍 能 确保 一 定 级 别 的 可 用 性 、 完 整 性 真实 
性 、 保 密 性 和 不 可 和 否认 性 ,并 能 及 时 对 破坏 进行 修复 ,具有 较 好 的 可 用 性 和 一 定 的 以 提供 
信息 安全 保障 的 关键 要 素 ,概括 起 来 就 是 一 个 宗旨 ”( 就 是 保障 信息 化 带 来 的 利益 最 大 
化 ,如 果 想 利益 最 大 化 ,就 要 保证 应 用 服务 安全 ),“ 两 个 对 象 "( 信 息 和 信息 系统 )、“ 三 个 能 
力 来 源 ”( 技 术 、 管 理 和 人 )* 四 个 层面 "(由 于 “深度 防御 ”的 信息 保障 战略 将 安全 空间 划分 
为 了 4 个 纵深 防御 焦点 域 : 保护 本 地 计算 环境 ,保护 区 域 边界 ,保护 网 络 和 基础 设施 以 及 
支撑 性 基础 设施 。 这 四 个 领域 构成 了 完整 的 信息 保障 体系 所 涉及 的 范围 ,满足 了 基于 “ 深 
度 防 御 ” 的 信息 保障 战略 的 空间 特性 ),“ 五 个 信息 状态 "(产生 存储、 处 理 、 传 输 和 消亡 )， 
“六 个 信息 保障 的 环节 ”( 预 警 保护、 检测 、 响 应 ,恢复 .反击 )。 并 且 介绍 了 信息 安全 保障 
体系 的 标志 一 一 美国 国家 安全 局 制定 的 信息 保障 技术 框架 IATF 。 这 个 框架 正好 反映 了 
上 述 信息 安全 保障 体系 的 各 个 要 素 。 可 以 看 出 ,不 管 是 从 人 通过 技术 进行 操作 这 三 个 能 
力 来 源 也 好 ,还 是 保护 本 地 计算 环境 \ 保 护 区 域 边界 ,保护 网 络 和 基础 设施 以 及 支撑 性 基 
础 设施 四 个 主要 的 技术 焦点 领域 也 好 ,信息 安全 保障 的 核心 思想 就 是 “深度 防御 ”战略 , 即 
对 攻击 者 和 目标 之 间 的 信息 环境 进行 分 层 , 然 后 在 每 一 层 都 “搭建 "由 技术 手段 和 管理 策 
略 等 综合 措施 构成 的 一 道道 屏障 ”, 形 成 连续 的 .层次 化 的 多 重 防御 机 制 ,保障 用 户 信 息 
及 信息 系统 的 安全 ,消除 给 攻击 网 络 的 企图 提供 的 “缺口 ”。 


9.3.1 信息 安全 管理 现状 


信息 安全 管理 案例 : 2011 年 . 陈 某 在 QQ 网 聊 中 偶然 添加 了 一 个 网 名 叫做 “机 票 ” 的 
人 ,通过 聊天 ,他 知道 此 人 专门 从 事 东航 机 票 代理 。“ 机 票 " 告 诉 陈 某 , 做 东航 的 机 票 代理 
有 较 高 的 返点 ,可 以 与 他 合作 ,一 起 拉客 户 卖 机 票 , 赚 取 其 中 的 差价 , 陈 军 立即 同意 。 随 后 
便 在 广州 白云 区 的 一 幢 楼 房 内 租 了 一 间 屋 子 ,并 添置 了 几 台 手机 和 电脑 作为 代理 机 票 销 
售 的 工具 ,他 还 找 来 朋友 李 超 和 姚 振 一 起 合作 ,生意 就 这 么 做 了 起 来 。 通 过 “机 票 ” 的 介 
绍 , 陈 某 得 到 了 东航 机 票 销售 平台 网 站 的 一 级 机 票 代理 账户 和 密码 ,有 了 一 级 代理 的 身 
份 ,他 可 以 得 到 3% 一 10% 的 返点 。 然 而 ,2011 年 4 月 , 当 陈 某 又 一 次 登录 东航 机 票 销售 
网 站 时 ,无 意 中 发 现 了 一 个 管理 员 账 户 。 在 好 奇 心 的 驱使 下 ,他 反复 测试 出 了 管理 员 账 户 
的 密码 ,并 利用 这 个 账户 侵入 了 东航 的 系统 。 侵 入 系统 之 后 , 陈 某 发 现 了 很 多 管理 员 名 字 
与 信息 ,随后 ,他 便 一 个 个 进行 测试 与 破解 ,最终 获取 了 六 七 个 管理 员 账 户 密码 。 陈 某 发 
现 , 在 破解 出 的 管理 员 账 户 中 ,有 一 个 可 以 设置 机 票 代理 ,随意 输入 机 票 销售 返点 率 。 于 
是 他 想 ,如 果 给 自己 设置 的 代理 机 构 输 入 更 高 的 返点 率 , 岂 不 就 可 以 赚 到 更 多 的 差价 了 ? 
于 是 , 陈 某 通过 这 个 账户 自行 设置 了 名 为 “哥本哈根 办 事 处 “利比亚 营业 点 "等 十 多 家 机 
票 代理 ,并 把 返点 率 设置 成 40% 一 70%%。 在 随后 的 “生意 ”中 ,他 就 利用 这 十 多 家 机 票 代 
理 的 身份 ,总 共 出 票 3300 余 张 ,在 QQ 上 吸引 客户 , 低 价 入 手 高 价 出 售 ,获取 200 多 万 元 
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的 差价 。 

后 来 这 件 事 被 发 现 ,显然 陈 某 及 其 朋友 和 触犯 了 刑法 , 陈 某 等 3 人 非法 侵入 东航 交易 平 
台 , 出 票 3300 余 张 并 销售 ,骗取 代理 费 200 余万元 。 后 来 因 犯 诈骗 罪 , 陈 某 被 判处 有 期 徒 
刑 11 年 6 个 月 ,剥夺 政治 权利 一 年 ,并 处 罚金 20 万 元 ; 李 某 、 姚 某 判 处 有 期 徒刑 8 年 6 个 
月 ,并 处 罚金 10 万 元 。 

反思 : 陈 某 等 3 人 的 侵入 固然 是 非法 的 ,以 诈骗 罪 获 刑 ,可 谓 咎 由 自 取 。 但 是 作为 经 
营 单位 东方 航空 公司 ,反观 案 发 的 过 程 , 从 信息 安全 的 专业 角度 看 ,其 管理 漏洞 也 是 显 而 
易 见 的 。 首 先 陈 某 何 以 能 够 得 到 管理 员 账户 就 不 可 思议 ;其 次 ,他 通过 反复 测试 得 出 了 管 
理 员 账 户 的 密码 ,并 利用 这 个 账户 侵入 了 东航 的 系统 ,更 匪夷所思 ;再 次 ,他 可 以 用 这 个 帐 
号 发 现 很 多 页 的 管理 员 名 字 与 信息 ,并 最 终 测 试 与 破解 ,获取 了 多 个 管理 员 账 户 密码 , 简 
直 就 是 天 方 夜 谭 ( 从 专业 角度 讲 , 这 样 的 密码 是 要 定时 更 改 , 且 对 账户 进行 及 时 检测 维 


护 的 )。 
以 上 分 析 可 以 看 出 ,东航 自身 的 信息 安全 管理 意识 淡薄 ,制度 执行 缺 位 , 正 是 这 样 的 
原因 造成 东航 票务 系统 易 受 攻击 。 


东航 的 案例 所 反映 的 现象 是 具有 代表 性 的 。 我 们 很 多 企业 发 生 林林总总 的 信息 安全 
事故 ,有 的 是 外 部 无 意 侵 人 ,有 的 是 黑客 有 意 攻击 ,甚至 内 外 勾结 ,但 核心 的 关键 往往 是 我 
们 管理 者 管理 意识 淡薄 制度 执行 缺 位 ,因为 所 有 的 攻击 点 都 是 我 们 日 常 管理 上 的 漏洞 。 
要 封 堵 漏洞 ,就 要 从 上 至 下 ,全 员 参 与 ,时 时 刻 刻 系 紧 信息 安全 之 弦 。 当 务 之 急 ,就 是 进行 
全 面 全 员 的 培训 教育 ,以 防 患 于 未 然 。 

再 来 看 一 个 信息 安全 管理 案例 .“16 时 10 分 ,百度 正在 读 取 你 的 通话 记录 ;16 时 15 
分 ,新 浪 微 博 正在 获取 你 的 位 置信 息 ;16 时 20 分 , 微 信 正 在 获取 你 的 位 置信 息 ……” 用 户 
张 先生 最 近 打 开 新 手机 自 带 的 第 三 方 监测 软件 时 , 吓 了 一 大 跳 : 手机 端的 应 用 一 个 没 打 
开 , 个 人 的 位 置信 息 等 隐私 怎么 就 会 被 很 多 应 用 偷 读 了 呢 ? 

由 于 这 三 大 企业 均 与 大 量 第 三 方 企 业 合作 ,牵涉 第 三 方 调用 信息 ,但 上 述 企 业 均 只 用 
一 条 “如 第 三 方 同意 承担 与 公司 同等 的 保护 用 户 隐私 的 责任 ,公司 有 权 将 用 户 注册 资料 提 
供给 第 三 方 ”的 条 款 便 打发 了 ,第 三 方 企业 是 否 泄露 了 用 户 隐 私 ,提供 信息 的 企业 能 否 切 
实 追 踪 ? 若 第 三 方 企业 泄露 了 隐私 ,信息 提供 者 是 否 也 应 负担 责任 ? 上海 市 消 保 委 约 谈 
了 百度 .腾讯 .新浪 三 家 互联 网 巨头 。 从 约 谈 的 情况 来 看 ,在 涉及 用 户 隐私 方面 ,3 家 企业 
均 存 在 一 些 共同 的 问题 。 首 先 ,手机 客户 端 缺 少 隐私 条 款 , 而 且 在 版 本 更 新 后 ,针对 新 增 
的 可 能 涉及 用 户 隐私 的 功能 .也 没有 及 时 通知 用 户 ; 其 次 ,涉嫌 对 用 户 数据 库 进 行商 业 上 
的 利用 。 

在 目前 业界 的 状态 下 . 靠 自 律 肯定 是 不 可 能 的 ,也 是 不 现实 的 。 工 信和 部 针对 手机 厂商 
预 装 应 用 发 布 规范 ,最 早 也 是 希望 大 家 自律 .但 最 后 发 现 这 事 根本 就 行 不 通 ,所 以 只 能 出 
台 相关 的 文件 。 这 个 文件 如 果 还 是 不 够 力度 的 话 ,将 来 可 能 就 得 上 升 到 法 律 层 面 了 。 李 
易 强 调 ,立法 是 非常 重要 的 ,用 规范 来 约束 相关 的 厂商 。 

上 面 两 个 例子 ,一 个 是 企业 在 信息 安全 管理 方面 做 得 不 够 导致 的 ,而 第 二 个 例子 是 由 
于 国家 在 信息 安全 管理 方面 .在 信息 安全 的 立法 方面 ,政策 法 规 方面 不 够 完善 导致 的 ,都 
属于 信息 安全 管理 的 范畴 。 
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9.3.2 ”信息 安全 管理 标准 


信息 安全 管理 的 理论 和 实践 已 经 从 依据 掌控 意志 的 人 治 型 管理 ,经 由 制度 化 建设 的 
规章 型 管理 ,发 展 到 了 根据 管理 理论 和 成 功 实践 经 验 加 以 规范 化 、 标 准 化 。 

到 目前 为 止 ,与 信息 安全 管理 相关 的 国际 标准 主要 是 国际 标准 化 组 织 (ISO) 和 国际 
电工 委员 会 (International Electrotechnical Commission, IEC) 制定 的 ISO/IEC 17799、 
ISO/IEC 13335 和 ISO/IEC 27000 系列 等 ,其 中 ISO/IEC 17799、ISO/IEC 27001 都 是 由 
英国 标准 协会 (BSD) 制 定 的 英国 标准 BS7799 发 展 而 来 的 ,它们 分 别 对 应 于 BS7799-1 和 
BS7799-2 ,而 BS7799-2 又 参考 了 ISO9001 质量 管理 体系 的 标准 。 此 外 ,有 代表 性 的 还 有 
美国 国家 标准 技术 局 (NIST) 制 定 的 一 系列 信息 安全 管理 相关 标准 ,如 SP 800 系列 .FIPS 
系列 等 。GB/T22080-2008 和 GB/T22081-2008 是 我 们 国家 根据 ISO 17799 和 27000 系 
列 制定 的 信息 安全 管理 的 标准 规范 ,同时 结合 国情 颁布 了 若干 为 等 级 保护 所 需要 的 信息 
安全 管理 标准 和 风险 评估 、 风 险 管理 ,事件 分 级 分 类 、 处 置 、 灾 难 备份 恢复 等 国家 标准 。 


9.3.3 信息 安全 管理 体系 ISMS 标准 内 容 简介 


信息 安全 管理 体系 (ISMS) 是 基于 业务 风险 方法 ,建立 、 实 施 .运行 ,监视 .评审 、 保 持 
和 改进 信息 安全 的 体系 ,是 一 个 组 织 整个 管理 体系 的 一 部 分 。 在 一 个 组 织 里 面 , 会 同时 存 
在 多 个 管理 体系 ,例如 质量 管理 体系 、 环 境 管理 体系 和 信息 安全 管理 体系 。 它 们 各 自 有 各 
自 的 管理 标准 。ISMS 关注 的 是 信息 安全 的 管理 方面 ,从 这 个 概念 里 我 们 可 以 看 出 ， 
ISMS 是 基于 风险 的 。 

。 ISO/IEC27001: 2005 (BS7799 Part 2, Information Security Management Systems 

Requirement) 信 息 安全 管理 体系 要 求 ; 
。 ISO/IEC27002. 2005(BS7799 Part 1,Code of Practice for Information Security 
Management) 信 息 安全 管理 实用 规则 。 

ISO 27001 体系 要 求 主要 是 给 出 一 个 组 织 或 者 单位 的 认证 标准 ,也 就 是 说 一 个 单位 
想 要 建立 信息 安全 管理 体系 ,该 如 何 建立 ,还 有 哪些 差距 ,该 怎样 改进 ,最 终 是 否 达 到 建立 
要 求 , 如 果 达 到 了 , 则 给 出 认证 的 证 书 。 这 就 是 27001 要 做 的 。 

而 ISO 27002 实用 规则 主要 给 出 的 就 是 控制 措施 ,也 就 是 说 ,如 果 想 要 建立 信息 安全 
管理 体系 , 想 要 达到 一 定 的 要 求 ,就 要 有 相应 的 措施 ,例如 资产 管理 的 措施 ,用 人 安全 的 措 
施 、 安 全 事件 管理 的 措施 等 ,ISO 27002 就 是 这 些 具体 控制 措施 的 规范 。 

这 里 主要 介绍 ISO 27001 ISMS 的 建立 过 程 ISO 27001 主要 是 认证 标准 ,可 以 按照 
ISO 27001 建立 信息 安全 管理 体系 并 获得 认证 ,下 面 我 们 来 看 一 下 ISO 27001 的 标准 内 
容 。 首 先是 前 言 , 对 ISO 27001 的 发 展 历史 进行 介绍 ,然后 是 正文 ,包括 标准 作用 的 范围 、 
规范 引用 的 文件 .相关 的 术语 和 定义 、 信 息 安 全 管理 体系 ISMS 的 建立 过 程 JSMS 的 管理 

只 责 以 及 对 要 建立 的 信息 安全 管理 体系 进行 的 内 部 审核 和 管理 评审 ,并 提出 改进 意见 。 
还 包括 三 个 附录 ,附录 A 是 明确 具体 的 控制 目标 和 控制 措施 (A. 5 安全 方针 ,A. 6 组 织 信 
息 安全 ,A.7 资产 管理 ,A. 8 人 力 资源 管理 , A. 9 物理 和 环境 安全 ,A. 10 通信 和 操作 管 
理 ,A.11 访问 控制 ,A. 12 信息 系统 获取 、 开 发 和 维护 ,A. 13 信息 安全 事件 管理 ,A.14 业 
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务 连续 性 管理 ,A. 15 符合 性 ) ,以 列表 方式 展示 A. 5 一 A. 15 所 列 的 控制 目标 和 控制 措施 ， 
是 直接 从 ISO/IEC17799: 2005 正文 5~15 那里 引用 过 来 的 , 共 11 大 控制 领域 .39 个 控 
制 目标 和 133 个 控制 措施 。 此 处 列举 的 控制 目标 和 控制 措施 应 该 被 规定 的 ISMS 过 程 所 
选择 。 附 录 B 是 OECD 原则 (OECD 原则 是 国际 上 最 有 影响 力 的 公司 治理 原则 ,OECD 
制定 的 公司 治理 准则 是 一 些 最 基本 的 原则 ,是 对 公司 治理 的 基本 要 求 。OECD 认识 到 各 
国 具体 情况 不 同 ,认为 各 国 应 根据 这 些 原则 ,采取 不 同方 式 ,建立 适合 本 国 国 情 的 公司 治 
理 机 制 ) 和 本 标准 的 关系 ,以 及 OECD 在 信息 系统 和 网 络 安全 方面 的 指导 原则 ,在 依据 
PDCA 模型 建立 ISMS 的 本 标准 中 有 对 应 ,附录 B 给 出 了 这 种 对 应 关系 。 附 录 C 是 质量 
管理 体系 ISO 9001 与 环境 管理 体系 ISO 14001 和 本 标准 信息 安全 管理 体系 的 对 照 和 比 
较 , 以 列表 方式 展示 了 这 三 个 管理 体系 标准 在 目录 (内 容 ) 上 的 一 致 性 。 附 录 A 是 规范 性 
的 附录 ,应 作为 ISMS 过 程 的 一 部 分 ,附录 B 和 附录 C 是 资料 性 的 附录 。 

下 面 我 们 介绍 ISMS 所 采用 的 一 个 核心 方法 一 一 PDCA 过 程 方法 ,也 就 是 说 ISMS 
的 建立 和 实施 的 思想 都 是 基于 过 程 的 。 那 么 什么 是 过 程 呢 ? 简单 地 说 ,过 程 就 是 一 组 活 
动 , 这 组 活动 就 是 在 将 输入 通过 一 定 的 资源 作用 转化 为 输出 这 个 过 程 中 所 涉及 的 相互 关 
联 和 相互 作用 的 活动 集 。 过 程 方法 就 是 识别 并 管理 这 些 过 程 , 通 过 度量 .反馈 等 方法 规划 
并 优化 这 些 过 程 及 过 程 之 间 的 相互 作用 (系统 地 识别 和 管理 组 织 所 应 用 的 过 程 ,特别 是 这 
些 过 程 之 间 的 相互 作用 , 称 为 过 程 方 法 )。 在 输入 和 输出 之 间 , 会 有 一 系列 的 活动 ,这 一 系 
列 的 活动 及 其 之 间 的 相互 作用 叫做 过 程 ,这 个 过 程 是 要 明确 相应 责任 人 的 ,并 且 通 过 不 断 
的 测量 .度量 和 反馈 进行 跟踪 和 改进 使 过 程 优化 ,这 个 过 程 会 使 用 并 产生 一 定 的 资源 ,所 
有 这 个 过 程 还 需要 以 文件 的 形式 记录 下 来 。 这 就 是 典型 的 过 程 方法 模型 PDCA。P 是 
Plan 规划 , D 是 Do 实施 ,C 是 Check 检查 .A 是 Act 处 置 。 PDCA 循环 是 由 美国 质量 管 
理 专 家 戴 明 提出 来 的 ,所 以 又 称 为 " 戴 明 环 "(Deming Cycle) , 它 在 质量 管理 中 应 用 广泛 ， 
是 一 种 持续 改进 的 优秀 方法 ,是 有 效 进行 任何 一 项 工作 的 合乎 逻辑 的 工作 程序 ,取得 了 很 
好 的 效果 。ISO 27001 采用 一 种 过 程 方法 来 建立 、 实 施 ,. 和 运行, 监视 .评审 .保持 和 改进 一 
个 组 织 的 ISMS。 一 个 组 织 必须 识别 和 管理 众多 活动 使 之 有 效 运行 。 通 过 使 用 资源 和 管 
理 , 将 输入 转化 为 输出 的 任意 活动 ,可 以 视 为 一 个 过 程 。 通 常 , 一 个 过 程 的 输出 可 直接 构 
成 下 一 过 程 的 输入 。 一 个 组 织 内 诸 过 程 的 系统 的 运用 ,连同 这 些 过 程 的 识别 和 相互 作用 
及 其 管理 ,可 称 之 为 “过 程 方法 ”。 

PDCA 特点 一 : 按 顺 序 进 行 ,从 了 规划, 到 D 实 施 , 再 到 C 检查 ,然后 到 A 处 置 ,处 置 
完 再 循环 这 个 过 程 , 开 始 新 一 轮 的 PDCA 过 程 , 它 靠 组 织 的 力量 来 推动 , 像 车 轮 一 样 向 前 
进 , 周 而 复 始 ,不 断 循环 。 

PDCA 特点 二 : 组 织 中 的 每 个 部 分 ,甚至 每 个 人 , 均 可 以 采用 PDCA 循环 ,这 样 大 的 
PDCA 过 程 里 面 又 套 着 小 的 PDCA 过 程 , 大 环 套 小 环 ,一 层 一 层 地 解决 问题 。 

PDCA 特点 三 : 每 通过 一 次 PDCA 循环 ,都 要 进行 总 结 ,提出 新 目标 ,再 进行 第 二 次 
PDCA 循环 ,以 达到 不 断 改进 优化 的 目的 。 

这 是 一 般 意 义 上 的 PDCA 模型 ,可 以 适用 于 各 种 管理 体系 ,ISO 27001 标准 (也 就 是 
信息 安全 管理 体系 ISMS) 也 采用 了 "规划 一 实施 一 检查 一 处 置 "的 PDCA 模型 ,并 且 该 模 
型 可 应 用 于 所 有 的 ISMS 过 程 。 那 么 信息 安全 管理 体系 ISMS 的 PDCA 模型 是 什么 样 
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的 呢 ? 

把 PDCA 模型 应 用 于 信息 安全 管理 体系 ISMS 的 建设 ,PDCA 四 个 阶段 就 有 了 具体 
的 含义 。 

首先 是 规划 (进行 风险 评估 ,并 建立 ISMS) ,针对 组 织 和 信息 系统 面临 的 风险 进行 评 
估 , 针 对 风险 评估 报告 提出 风险 管理 的 方法 和 措施 ,建立 并 改进 信息 安全 有 关 的 ISMS 方 
针 、 目 标 . 过 程 和 程序 ,以 提供 与 组 织 总 方针 和 总 目标 相 一 致 的 结果 。 

然后 ,结合 相关 方 提出 的 信息 安全 要 求 和 期 望 ,实施 信息 安全 管理 体系 ,包括 实施 和 
运行 ISMS 方针 ,控制 措施 、 过 程 和 程序 。 

在 运行 的 过 程 中 ,不 断 进 行 检查 ,以 监视 ISMS 的 运行 情况 ,对 照 ISMS 方针 、 目 标 和 
实践 经 验 ,可 以 对 ISMS 进行 评审 和 评估 ,并 在 适当 时 候 测 量 过 程 的 执行 情况 ,并 将 结果 
报告 管理 者 以 供 评审 。 

根据 检查 的 结果 ,包括 ISMS 内 部 审核 和 管理 评审 的 结果 或 者 其 他 相关 信息 ,对 相应 
的 情况 进行 相应 的 处 置 ,采取 纠正 和 预防 措施 ,以 持续 改进 ISMS( 保 持 和 改进 ISMS) 。 

接着 再 进入 新 的 一 轮 PDCA 循环 。 通 过 这 样 一 个 过 程 相关 的 组 织 和 信息 系统 就 可 
以 成 为 一 个 受 控 的 信息 系统 。 

所 以 ISO 27001 的 核心 内 容 可 以 概括 为 四 名 话 : 

。 规定 你 应 该 做 什么 并 形成 文件 : P; 

。 按照 文件 ,做 文件 已 规定 的 事情 : D; 

。 评审 你 所 做 的 事情 的 符合 性 , 即 符 不 符合 组 织 要 求 和 需求 , 符 不 符合 法 律 法 

规 : C; 

。 采取 纠正 和 预防 措施 ,持续 改进 信息 安全 管理 体系 ISMS: A。 

ISO 27001 是 设计 用 于 认证 的 ,可 帮助 组 织 建立 和 维护 ISMS。 那 么 认证 有 什么 好 处 
呢 ? 大 家 可 以 想 想 ,如 果 一 个 组 织 或 企业 通过 了 ISO 27001 这 样 一 个 国际 标准 的 认证 ,有 
什么 好 处 呢 ? 

大 的 方面 ,从 法 律 法 规 的 角度 来 考虑 ,证 书 的 获得 可 以 向 客户 和 合作 伙伴 表明 : 组 织 
遵守 了 所 有 适用 的 法 律 法 规 ,从 而 可 以 保护 组 织 / 企 业 和 相关 方 的 信息 系统 安全 、 知 识 产 
权 、 商 业 秘 密 等 。 小 的 方面 ,从 组 织 / 企 业 本 身 的 角度 来 说 ,证 书 的 获得 可 以 维护 企业 的 声 
誉 .品牌 和 客户 信任 ,同时 可 以 使 组 织 更 好 地 履行 信息 安全 管理 的 责任 ,在 实施 和 运行 信 
息 安 全 管理 体系 的 过 程 中 ,可 以 增强 员工 的 意识 责任 感 和 相关 技能 。 重 要 的 是 ,实施 信 
息 安全 管理 体系 的 过 程 ,也 是 实现 风险 管理 的 过 程 ,通过 分 析 信 息 资产 及 其 脆弱 性 ( 漏 
洞 ), 以 及 面临 的 威胁 ,可 以 进行 信息 安全 风险 评估 ,并 根据 评估 结果 找到 信息 系统 存在 的 
问题 以 及 相应 的 保护 办 法 ,这样 就 可 以 有 效 地 把 组 织 所 面临 的 风险 降低 到 一 个 可 以 接受 
的 范围 内 ,保证 组 织 自身 的 信息 资产 能 够 在 一 个 合理 而 完整 的 框架 下 得 到 妥善 保护 。 当 
然 ,对 组 织 /企业 最 大 的 好 处 就 是 : 证 书 的 获得 ,有 助 于 确定 组 织 在 同行 业内 的 竞争 优势 ， 
提升 其 市 场地 位 。 事 实 上 ,现在 很 多 投标 项 目 已 经 开始 要 求 ISO 27001 的 符合 性 了 。 





建立 信息 安全 管理 体系 ,首先 要 建立 一 个 合理 的 信息 安全 管理 框架 。 根 据 ISO 
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27001 从 信息 系统 的 所 有 层面 进行 整体 安全 建设 ,并 从 信息 系统 本 身 出 发 ,通过 建立 资产 
清单 进行 风险 分 析 ,选择 控制 目标 与 控制 措施 等 步骤 ,建立 信息 安全 管理 体系 。 

第 一 步 , 确 定 ISMS 的 范围 。 

组 织 应 根据 实际 情况 ,在 整个 组 织 范围 内 或 在 个 别 部 门 和 领域 架构 ISMS。 例 如 是 
整个 组 织 还 是 组 织 的 某 个 部 门 ,由 于 信息 安全 管理 体系 ISMS 的 整个 过 程 都 要 以 文件 形 
式 记 录 下 来 ,所 以 要 看 文件 里 所 写 的 是 否 缩小 了 ISMS 的 范围 。 所 以 可 以 将 组 织 划分 成 
不 同 的 信息 安全 控制 领域 ,以 利于 组 织 对 有 不 同 需求 的 领域 进行 适当 的 信息 安全 管理 。 
要 根据 这 一 期 的 建设 目标 来 看 ISMS 文件 中 是 否 缩小 了 认证 范围 。 另 外 ,确定 ISMS 的 
范围 和 边界 还 应 该 包括 对 ISMS 范围 之 外 的 对 象 做 出 详细 的 和 合理 性 的 说 明 。 

第 二 步 , 确 定 ISMS 方针 及 方针 文件 。 

ISMS 信息 安全 方针 是 统领 整个 体系 的 管理 方向 和 工作 意图 的 文件 ,是 组 织 的 信息 
安全 委员 会 或 管理 者 制定 的 一 个 高 层 的 纲领 性 文件 ,管理 层 应 确定 和 出 版 信息 安全 方针 ， 
并 以 合适 的 方式 传达 给 所 有 的 员工 。ISMS 方针 可 以 提供 信息 安全 的 管理 方向 和 支持 ， 
并 且 还 需要 定期 进行 评审 以 预防 有 影响 的 变化 发 生 , 使 其 保持 有 效 性 。 制 定 信息 安全 方 
针 应 包括 : 总 体 目 标 和 范围 ;管理 层 意图 .支持 目标 和 信息 安全 原则 的 阐述 ;业务 和 法 律 
法 规 的 要 求 ,以 及 合同 中 的 安全 义务 要 求 ;信息 安全 控制 的 简要 说 明 等 。 我 们 看 个 小 例 
子 : 审核 时 发 现 总 经 理 曾 发 布 过 信息 安全 方针 :“ 积 极 预防 、 整 体 控制 ,减少 业务 风险 
I ”和 安全 目标 :“ 机 密 信 息 泄露 事故 为 0……”。 在 询问 了 两 位 中 层 干部 .3 名 员工 后 ， 
他 们 说 在 员工 动员 大 会 上 ,总 经 理 屡 次 强调 一 定 要 实现 安全 目标 ,但 没有 提 及 安全 方针 ， 
因此 认为 安全 方针 只 是 口号 ,和 实际 工作 关系 不 大 ,只 要 达到 安全 目标 就 可 以 了 。 

可 以 这 样 理解 , 正 是 因为 信息 安全 方针 文件 类 似 于 法 律 中 的 宪法 ,方针 文件 看 起 来 
“务虚 ”, 但 这 是 必须 的 ,这 些 务虚 只 是 因为 该 文件 不 是 针对 直接 用 户 。 当 然 , 制 度 的 精英 
在 于 落地 ,绝对 不 是 为 了 好 看 , 听 起 来 激动 人 心 的 制度 ,如 果 不 能 落地 ,往往 既 不 能 达到 目 
的 ,又 可 能 成 为 新 的 负担 , 越 搞 越 糟 。 所 以 除了 要 有 ISMS 方针 文件 ,还 要 有 具体 的 策略 ， 
将 这 些 方针 进行 具体 化 。 安 全 策略 就 分 成 两 个 层次 : 顶层 的 是 信息 安全 方针 ,然后 是 具 
体 的 信息 安全 策略 。 

第 三 步 是 确定 系统 化 的 风险 评估 方法 ,第 四 步 是 确定 风险 ,第 五 步 是 评估 风险 ,这 三 
步 其 实 就 是 在 实施 ISMS 风险 评估 ,所 以 可 以 把 这 三 步 合 在 一 起 来 讲 。 这 里 主要 针对 把 
风险 评估 与 信息 安全 管理 体系 的 实施 相 结合 时 要 考虑 的 几 个 问题 进行 介绍 。 

(1) 建立 ISMS 首先 要 确定 是 否 进行 正式 的 风险 评估 并 文件 化 ? 

(2) 被 选择 的 风险 评估 方法 是 否 经 过 合适 数量 的 员工 验证 ? 

(3) 风险 评估 是 否 确认 资产 的 脆弱 性 、 威 胁 和 对 组 织 潜在 的 影响 ? 

(4) 风险 评估 是 否 在 合适 的 时 间 段 内 进行 ,在 何 时 对 组 织 和 体系 进行 改变 ? 

针对 第 一 个 问题 :风险 评估 是 进行 安全 管理 必须 要 做 的 最 基本 的 一 步 , 它 为 ISMS 的 
控制 目标 与 控制 措施 的 选择 提供 依据 ,也 是 对 安全 控制 的 效果 进行 测量 和 评价 的 主要 
方法 

针对 第 二 个 问题 : 组 织 应 考虑 评估 的 目的 .范围 .时 间 、 效 果 、 人 员 素 质 等 因素 ,确定 
适合 ISMS 的 风险 评估 方法 ,该 方法 还 应 当 符合 相关 业务 的 信息 安全 和 法 律 法 规 要 求 。 
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针对 第 三 个 问题 : 资产 、 脆 弱 性 和 威胁 是 风险 评估 的 三 大 要 素 ,这 些 在 我 们 之 前 已 经 
讲 过 了 ,这 里 就 不 再 重复 ,可 以 说 风险 评估 的 质量 直接 影响 着 ISMS 建设 的 成 败 。 

针对 第 四 个 问题 : 什么 时 候 适合 对 组 织 进行 风险 评估 ,什么 时 候 处 理 风 险 评估 得 出 
的 问题 ,什么 时 候 对 组 织 及 其 信息 系统 进行 改造 ? 请 读者 思考 一 下 。 

第 六 步 ,进行 ISMS 风险 管理 。 

(1) 组 织 是 否 确定 了 风险 管理 的 方法 (投入 产 出 均衡 要 求 )? 

(2) 要 求 的 保险 程度 是 否 被 定义 (最 低 保护 要 求 )? 

(3) 管理 决议 是 否 产生 出 要 选择 的 控制 措施 ? 

风险 管理 的 方法 主要 有 四 种 : 接受 风险 .避免 风险 .转移 风险 和 降低 风险 。 顾 名 思 
义 ,接受 风险 就 是 不 做 任何 事情 ,不 引入 控制 措施 ,有 意识 地 、 客 观 地 接受 风险 , 即 保持 风 
险 。 避 免 风 险 是 组 织 决定 通过 采用 不 同 技术 ,或 者 更 改 操 作 流 程 等 绕 过 风险 ,例如 ,通过 
放弃 某 种 会 带 来 风险 的 业务 ,或 主动 从 某 一 风险 大 的 区 域 撤离 ,例如 容易 发 生地 震 、 泥 石 
流 等 灾难 的 地 区 ,或 者 如 果 没 有 足够 的 保护 措施 ,就 不 处 理 特别 敏感 的 信息 ,或 者 由 于 担 
心 接 入 因特网 会 招致 黑客 攻击 便 放弃 使 用 ,从 而 达到 规避 风险 的 目的 。 转 移 风 险 是 组 织 
在 无 法 避免 风险 时 ,或 者 在 减少 风险 成 本 很 高 很 困难 时 可 能 采用 的 一 种 选择 。 例 如 ,给 
已 确认 的 价值 较 高 、 风 险 较 大 的 资产 上 保险 ,把 风险 转移 给 保险 公司 ;或 者 ,把 关键 业务 的 
处 理 过 程 外 包 给 拥有 更 好 设备 和 高 水 平 专 业 人 员 的 第 三 方 组 织 ( 要 注意 的 是 ,在 与 第 三 方 
签署 服务 合同 时 ,要 详细 描述 所 有 的 安全 需求 .控制 目标 与 控制 措施 ,以 确保 第 三 方 提供 
服务 时 也 能 提供 足够 的 安全 保障 。 尽 管 这 样 ,在 许多 外 包 项 目的 合同 条 款 中 ,外 购 的 信息 
及 信息 处 理 设施 的 安全 责任 大 部 分 还 是 落 在 组 织 自己 身上 ,对 这 一 点 要 有 清醒 的 认识 )， 
第 四 种 方法 一 一 降低 风险 , 它 是 通过 选择 控制 目标 与 控制 措施 来 降低 风险 评估 确定 的 风 
险 。 在 转移 风险 前 可 以 先 采取 措施 降低 风险 。 为 了 使 风险 降低 到 可 接受 的 水 平 , 把 重要 
资产 从 信息 处 理 设施 的 风险 区 域 中 转移 出 去 ,以 降低 信息 处 理 设施 的 安全 要 求 。 例 如 ,一 
份 高 度 机 密 的 文件 使 得 存储 与 处 理 该 文件 的 网 络 风险 倍增 ,可 将 该 文件 转移 到 一 个 单独 
的 PC 上 ,风险 也 就 明显 降低 了 。 

所 以 在 进行 风险 管理 时 ,要 先 考 虑 准备 采用 哪 一 种 或 哪 几 种 风险 管理 方法 。 而 要 确 
定 采 用 什么 方法 ,就 要 看 看 ISMS 文件 中 是 否 明确 定义 了 组 织 能 够 接受 的 风险 程度 ,根据 
组 织 能 够 接受 的 风险 准则 ,确定 采用 什么 样 的 风险 管理 方法 及 相应 的 控制 目标 和 控制 措 
施 。 一 般 情况 下 ,是 应 该 采取 一 定 的 措施 来 避免 安全 风险 产生 安全 事故 ,防止 由 于 缺乏 安 
全 控制 而 对 正常 业务 运营 造成 损害 。 特 殊 情 况 下 , 当 决定 接受 高 于 可 接受 水 平 的 风险 时 ， 
应 获得 管理 层 的 批准 。 如 果 认 为 风险 是 组 织 不 能 接受 的 ,那么 就 需要 考虑 其 他 的 方法 来 
应 对 这 些 风险 。 

第 七 步 ,确定 控制 目标 ,选择 控制 措施 。 

(1) 选择 的 控制 措施 是 否 建立 在 风险 评估 的 基础 之 上 ? 

(2) 是 否 来 自 于 明确 的 以 控制 为 基本 标准 的 风险 评估 ? 哪 一 种 控制 是 必需 的 , 哪 一 
种 是 可 以 选择 的 ? 

(3) 控制 措施 是 否 反映 组 织 的 风险 管理 战略 ? 

首先 看 选择 的 控制 措施 是 否 是 针对 风险 评估 中 找 出 的 问题 ,组 织 应 根据 信息 安全 风 
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险 评估 的 结果 ,针对 具体 风险 ,制定 相应 的 控制 目标 ,并 实施 相应 的 控制 措施 。 

对 控制 目标 与 控制 措施 的 选择 ,应 当 由 安全 需求 来 驱动 ,选择 过 程 应 该 是 基于 满足 安 
全 需求 ,同时 要 考虑 风险 平衡 与 成 本 效益 的 原则 (考虑 成 本 费用 不 超过 风险 所 造成 的 损失 
(成 本 意识 )) 。 控 制 措施 的 选择 可 以 参考 ISO 27002 信息 安全 管理 控制 规范 的 相关 内 容 ， 
当然 也 可 以 根据 组 织 的 实际 情况 选择 其 他 的 控制 措施 。 考 虑 哪 一 种 控制 是 必需 的 , 哪 一 
种 是 可 以 选择 的 。 

还 要 考虑 选择 的 控制 措施 是 否 反 映 了 组 织 的 风险 管理 战略 , 即 符合 组 织 对 风险 的 要 
求 .最 低 保护 要 求 .投入 和 产 出 的 均衡 要 求 等 。 并 且 要 考虑 信息 安全 的 动态 系统 工程 过 
程 ,对 所 选择 的 控制 目标 和 控制 措施 要 及 时 加 以 校 验 和 调整 ,以 适应 不 断 变 化 的 情况 ,使 
信息 资产 得 到 有 效 的 、 经 济 的 、 合 理 的 保护 。 

在 ISO/IEC 27002 中 结合 组 织 信息 资产 可 能 存在 的 威胁 .脆弱 性 制定 了 11 大 控制 方 
面 .39 个 控制 目标 、133 项 信息 安全 控制 措施 ， 这 些 详细 严格 的 安全 管理 控制 贯穿 了 系统 
生命 周期 的 全 过 程 和 系统 的 所 有 环节 。 这 11 大 控制 方面 包括 信息 安全 方针 、 安 全 组 织 、 
资产 管理 .人 员 安 全 、 物 理 和 环境 安全 ,通信 与 操作 安全 、 访 问 控制 .系统 开发 与 维护 、 安 
全 事件 管理 ,业务 持续 性 管理 ,符合 性 保证 。 

第 八 步 ,ISMS 适用 性 声明 。 

什么 是 适用 性 声明 ? 信息 安全 适应 性 声明 记录 了 组 织 内 相关 的 风险 控制 目标 和 针对 
它 采用 的 各 种 控制 措施 ;向 组 织 内 外 表明 信息 安全 风险 的 态度 和 作为 ,以 表明 组 织 已 经 全 
面 、 系 统 地 审视 了 组 织 的 信息 安全 系统 ,并 将 所 有 有 必要 管理 的 风险 控制 在 能 够 接受 的 范 
围 内 。 所 以 我 们 首先 要 看 看 ISMS 是 否 准 备 了 适用 性 声明 (在 该 声明 中 证 明 所 采用 的 控 
制 目标 和 控制 措施 是 正确 的 )? 

注意 : 这 是 评估 文件 的 关键 。 它 是 连接 ISO 27001 和 ISO 27002(ISO 17799 和 信息 
安全 管理 体系 ) 的 关键 。 在 ISMS 的 认证 过 程 中 也 要 用 到 适用 性 声明 。 

ISO 27001 的 附录 A 给 出 了 推荐 使 用 的 一 些 控制 目标 和 控制 措施 A. 5 一 A. 15 。ISO 
27002 的 第 5 一 15 章 也 提供 了 最 佳 的 实践 建议 和 指南 。 组 织 可 以 只 选择 适合 本 机 构 使 用 
的 部 分 ,而 不 适合 使 用 的 可 以 不 选择 。 对 于 这 些 选择 和 不 选择 ,都 必须 做 出 声明 , 即 建 立 
适用 性 声明 文件 。 

从 以 下 几 方 面 准备 适用 性 声明 : 

(1) 说 明 所 选择 的 控制 目标 和 控制 措施 ,以 及 选择 的 理由 ; 

(2) 对 当前 实施 的 控制 目标 和 控制 措施 进行 评估 ; 

(3) 说 明 对 ISO/TEC 27001: 2005 标准 附录 A 中 任何 控制 目标 和 控制 措施 的 删 减 ， 
以 及 删 减 进行 合理 性 说 明 。 

适用 性 声明 文件 中 记录 了 组 织 内 相关 的 风险 控制 目标 和 针对 每 种 风险 所 采取 的 各 种 
控制 措施 ,并 包括 这 些 控 制 措施 被 选择 或 没有 被 选择 的 原则 。 

这 是 适用 性 声明 的 一 个 示例 。 首 先 从 ISMS 文件 的 附录 A 中 选 出 一 些 控制 措施 ,这 
里 给 出 三 个 具体 的 控制 措施 ,一 个 是 A. 5. 1. 1 信息 安全 方针 文件 ,A. 10. 10. 3 日 志 信 息 
的 保护 ,A. 15. 3. 2 信息 系统 审计 工具 的 保护 ,然后 看 是 不 是 选择 该 控制 措施 ,并 在 说 明 
一 栏 中 写 明 选择 和 不 选择 的 理由 。 像 A. 5. 1. 1 信息 安全 方针 文件 就 是 必须 要 选 的 ,而 
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A.15.3. 2 信息 系统 审计 工具 的 保护 就 没有 被 选择 ,在 说 明 这 一 栏 的 原因 中 写 了 是 因为 
公司 没有 这 类 保护 要 求 , 所 以 这 项 控制 不 适用 。 这 就 是 适用 性 声明 。 

第 9 步 ,批准 残余 风险 。 

提议 的 残余 风险 应 获得 管理 层 批准 ,才能 授权 实施 和 运作 ISMS 。 

在 风险 被 降低 或 转移 后 ,还 会 有 残余 风险 ,这 些 残 余 风 险 应 该 让 管理 层 知晓 并 且 批 
准 ,对 于 残余 风险 ,也 应 该 有 相应 的 控制 措施 ,以 避免 不 利 的 影响 或 被 扩大 的 可 能 性 。 在 
此 情况 下 才能 授权 实施 和 运行 ISMS。 在 实施 和 运行 ISMS 的 过 程 中 ,还 要 进行 日 常 监视 
和 检查 、 内 部 审核 ,管理 评审 这 三 步 ,然后 确定 ISMS 是 否 需要 改进 ,如 果 需 要 改进 ,还 需 
要 制定 纠正 和 预防 措施 。 这 样 才 完 成 一 个 ISMS 的 实施 流程 。 


9.4 信息 安全 管理 控制 规范 


9.4.1 信息 安全 管理 控制 规范 的 形成 过 程 


BS7799 标准 是 国际 上 具有 代表 性 的 信息 安全 管理 体系 标准 ,依据 BS7799 建立 信息 
安全 管理 体系 并 获得 认证 已 成 为 世界 潮流 。 组 织 可 以 参照 信息 安全 管理 模型 ,按照 
BS7799 标准 建立 完整 的 信息 安全 管理 体系 并 进行 实施 与 保持 ,达到 动态 的 .系统 的 、 全 员 
参与 的 .制度 化 的 .以 预防 为 主 的 信息 安全 管理 方式 ,用 最 低 的 成 本 ,达到 可 接受 的 信息 安 
全 水 平 , 从 根本 上 保证 业务 的 连续 性 ,提高 企业 的 社会 形象 和 市 场 竞争 力 。 

BS7799( 被 信息 界 喻 为 “滴水 不 漏 的 信息 安全 管理 标准 ”) 是 世界 上 影响 最 深 、 最 具 代 
表 性 的 信息 安全 管理 体系 标准 ,已 经 得 到 了 很 多 国家 的 认可 。 它 是 由 英国 标准 协会 
(BSD 发 布 的 。1995 年 首先 发 布 了 《信息 安全 管理 实施 细则 》(BS7799-1:1995), 它 为 信息 
安全 提供 了 一 套 全 面 综合 最 佳 实践 经 验 的 控制 措施 ,其 目的 是 将 信息 系统 用 于 工业 和 商 
业 用 途 时 ,为 确定 实施 控制 措施 的 范围 提供 一 个 参考 依据 ,并 且 能 够 让 各 种 规模 的 组 织 所 
采用 。 

由 于 BS7799-1 采用 指导 和 建议 的 方式 编写 ,不 适合 作为 认证 标准 使 用 。1998 年 为 
了 适应 第 三 方 认证 的 需求 ,BSI 又 制定 了 世界 上 第 一 个 信息 安全 管理 体系 认证 标准 , 即 
《信息 安全 管理 体系 规范 》(BS7799-2:1998) , 它 规定 了 信息 安全 管理 体系 要 求 与 信息 安 
全 控制 要 求 , 它 是 一 个 组 织 的 全 面 或 部 分 信息 安全 管理 系统 评估 的 基础 ,可 以 作为 对 一 个 
组 织 的 全 面 或 部 分 信息 安全 管理 体系 进行 评审 认证 的 标准 。 

1999 年 ,鉴于 新 的 信息 处 理 技术 应 用 ,特别 是 网 络 和 通信 的 发 展 情况 ,BSI 对 信息 安 
全 管理 体系 标准 进行 了 修订 , 即 BS7799-1:1999 和 BS7799-2:1999。1999 版 特别 强调 了 
信息 安全 所 涉及 的 商业 问题 和 责任 问题 。BS7799-1:1999 和 BS7799-2:1999 是 一 对 配套 
的 标准 ,其 中 BS7799-1:1999 对 如 何 建立 并 实施 符合 BS7799-2:1999 标准 要 求 的 信息 安 
全 管理 体系 提供 了 最 佳 的 应 用 建议 。 

2000 年 12 月 ,BS7799-1 被 ISO 接受 为 国际 标准 , 即 ( 信 息 技术 一 安全 技术 一 一 信息 
安全 管理 实施 细则 》(ISO/ITEC17799:2000)。2004 年 4 月 19 日 被 我 国 等 同 采用 为 国家 标 
准 (信息 技术 一 安全 技术 一 一 信息 安全 管理 实用 规则 》(GB/T19716-2005)。2005 年 6 
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月 ,ISO/IEC17799:2000 升级 为 [ISO/IEC17799:2005, 主 要 增加 了 “信息 安全 事件 管理 ” 
这 一 安全 控制 区 域 。 目 前 世界 上 包括 中 国 在 内 的 绝 大 多 数 政府 签署 协议 支持 并 认可 
ISO/IEC17799 标准 。 

2002 年 9 月 ,BSI 发 布 了 BS7799-2:2002。BS7799-2:2002 主要 在 结构 上 做 了 修订 ， 
引入 了 国际 上 通行 的 管理 模式 一 一 过 程 方 法 和 PDCA(Plan-DO-Check-Act) 持 续 改进 模 
式 ,建立 了 与 ISO9001、ISO14001 和 OHSAS18000 等 管理 体系 标准 相同 的 结构 和 运行 
模式 。 

2005 年 10 月 ,BS7799-2 被 ISO 接受 为 国际 标准 , 即 ( 信 息 技 术 一 安全 技术 一 一 信息 
安全 管理 体系 要 求 )(ISO/VIEC27001:2005) ,这 意味 着 该 标准 已 经 得 到 了 国际 上 的 承认 。 
ISO/VIEC27001:2005 基本 上 与 BS7799-2 一 致 ,但 做 了 以 下 修改 : 必须 为 范围 中 任何 被 排 
除 在 外 的 部 分 指定 理由 ,指定 一 个 明确 定义 的 风险 分 析 方 法 。 在 风险 处 理 中 选择 的 措施 
必须 被 重新 进行 风险 评估 。 

总 的 来 说 ,ISO/VIEC27001:2005 是 建立 信息 安全 管理 体系 (Information Security 
Management System,ISMS) 的 一 套 需求 规范 ,其 中 详细 说 明了 建立 ,实施 和 维护 信息 安 
全 管理 体系 的 要 求 ,其 内 容 非常 全 面 , 是 一 个 真正 基于 风险 的 方法 。 这 意味 着 组 织 必须 评 
估 自 己 的 环境 ,并 为 所 实施 的 控制 负责 。 

2007 年 7 月 ,为 了 和 27000 系列 保持 统一 ,ISO 将 ISO/IEC17799:2005 正式 更 改编 
号 为 ISO/IEC27002:2005 。 

2008 年 6 月 19 日 ,我 国 等 同 采用 ISO/IEC27001:2005 为 国家 标准 (信息 技术 一 安全 
技术 一 一 信息 安全 管理 体系 要 求 》(GB/T22080 一 2008), 并 同时 赞同 采用 ISO/ 
IEC27002:2005 为 国家 标准 (信息 技术 一 安全 技术 一 一 信息 安全 管理 实用 规则 》(GB/ 
T22081 一 2008) , 它 也 是 对 GB/T19716 一 2005 的 修订 ,并 代替 该 标准 。 

ISO 已 为 信息 安全 管理 体系 预 留 了 ISO/IEC27000 系列 编号 ,类 似 于 质量 管理 体系 
的 ISO9000 系列 和 环境 管理 体系 的 ISO 14000 系列 标准 。 截 至 2011 年 6 月 ,包括 上 面 提 
到 的 ISO/IEC27001 和 ISO/IEC27002, 共 发 布 了 以 下 9 项 标准 : 

ISO/IEC27000:2009《 信 息 技术 一 安全 技术 一 一 信息 安全 管理 体系 原理 和 术语 》; 
ISO/IEC27001:2005《 信 息 技术 一 安全 技术 一 一 信息 安全 管理 体系 要 求 》; 
ISO/IEC27002:2005《 信 息 技术 一 安全 技术 一 一 信息 安全 管理 实用 规则 》; 
ISO/IEC27003:2010《 信 息 技术 一 安全 技术 一 一 信息 安全 管理 体系 实施 指南 》; 
ISO/IEC27004:2009《 信 息 技术 一 安全 技术 一 一 信息 安全 管理 测量 与 指标 》; 
ISO/IEC27005:2008《 信 息 技 术 一 安全 技术 一 一 信息 安全 风险 管理 》,2011 年 6 
月 发 布 新 版 ISO/ITEC27005:2011; 

ISO/ 正 C27006 :2007 《信息 技术 一 安全 技术 一 一 信息 安全 管理 体系 审核 认证 机 构 
要 求 》 

ISO/VIEC27011:2008《 信 息 技术 一 安全 技术 一 一 电信 机 构 基 于 ISO/IEC27002 的 
信息 安全 管理 指南 》; 

ISO/IEC27799:2008《 健 康信 息 一 应 用 ISO/IEC27002 的 医疗 信息 安全 管理 )。 
在 组 织 内 建立 和 实施 基于 最 新 国际 标准 ISO/IEC27001 :2005 的 信息 安全 管理 体系 
























第 9 章 “信息 安全 管理 \@ 


是 目前 国际 上 最 先进 的 信息 安全 整体 解决 方案 。 信 息 安 全 管理 体系 是 基于 业务 风险 方法 
建立 .实施 .运行 ,监视 .评审 .保持 和 改进 信息 安全 的 体系 。 从 这 个 概念 里 我 们 可 以 看 出 ， 
ISMS 是 基于 风险 的 , 它 以 组 织 风险 评估 为 基石 ,运用 PDCA 过 程 方法 和 133 项 信息 安全 
控制 措施 来 帮助 组 织 解决 信息 安全 问题 ,实现 信息 安全 目标 。 为 什么 要 选择 基于 风险 的 
信息 安全 管理 体系 ? 信息 安全 建设 的 宗旨 之 一 ,就 是 在 综合 考虑 成 本 与 效益 的 前 提 下 , 通 
过 恰当 足够、 综合 的 安全 措施 来 控制 风险 ,使 残余 风险 降低 到 可 接受 的 程度 。ISMS 是 
一 个 组 织 整 个 管理 体系 的 一 部 分 。 在 一 个 组 织 里 面 会 同时 存在 多 个 管理 体系 ,例如 质量 
管理 体系 、 环 境 管理 体系 和 信息 安全 管理 体系 ,它们 各 自 有 各 自 的 管理 标准 。ISMS 关注 
的 是 信息 安全 的 管理 方面 。 

根据 ISMS 的 定义 : 基于 业务 风险 方法 ,建立 实施 .运行 ,监视 .评审 .保持 和 改进 信 
息 安全 的 体系 ,如 果 按 照 这 个 定义 ,很 多 标准 都 可 以 认为 是 信息 安全 管理 体系 ,但 是 在 实 
际 的 应 用 中 ,由 于 ISMS 的 概念 在 GB/T22081 一 2008/ISO/IEC27002;2005 中 提出 ,也 由 
于 该 标准 的 广泛 应 用 ,以 至 于 ISMS 基本 成 了 1ISO/IEC27000 标准 族 的 代名词 。 可 以 说 ， 
ISMS 标准 主要 由 ISO27001 和 ISO27002 构成 。 

。 ISO/IEC27001:2005 (BS7799 Part 2) 信 息 安全 管理 体系 要 求 ; 

。 ISO/VIEC27002: 2005 (BS7799 Part 1) 信 息 安 全 管理 实用 规则 。 

27001 体系 要 求 主 要 是 给 出 一 个 组 织 或 者 单位 的 认证 标准 ,也 就 是 说 一 个 单位 想 要 
建立 信息 安全 管理 体系 ,该 如 何 建立 ,还 有 哪些 差距 ,该 怎样 改进 ,最 终 是 否 达 到 建立 要 
求 ,如 果 达 到 了 ,给 出 认证 的 证 书 。 这 就 是 27001 要 做 的 。 

而 27002 实用 规则 主要 给 出 的 就 是 控制 措施 ,也 就 是 说 ,如 果 想 要 建立 信息 安全 管理 
体系 , 想 要 达到 一 定 的 要 求 ,就 要 有 相应 的 措施 ,例如 资产 管理 的 措施 ,用 人 安全 的 措施 、 
安全 事件 管理 的 措施 等 。27002 就 是 这 些 具体 控制 措施 的 规范 。 

PDCA 模型 应 用 于 信息 安全 管理 体系 的 建设 ,PDCA 四 个 阶段 就 有 了 具体 的 含义 : 

首先 是 Plan 规划 (进行 风险 评估 ,并 建立 ISMS) :针对 组 织 和 信息 系统 面临 的 风险 进 
行 评估 ,针对 风险 评估 报告 提出 风险 管理 的 方法 和 措施 ,建立 并 改进 信息 安全 有 关 的 
ISMS 方 针 、 目 标 、 过 程 和 程序 ,以 提供 与 组 织 总 方针 和 总 目标 相 一 致 的 结果 。 

然后 结合 相关 方针 提出 的 信息 安全 要 求 和 期 望 , 实 施 信 息 安 全 管理 体系 ,包括 实施 和 
运行 ISMS 方针 ,控制 措施 、 过 程 和 程序 。 

在 运行 的 过 程 中 ,不 断 进 行 检查 ,以 监视 ISMS 的 运行 情况 ,对 照 ISMS 方针 、 目 标 和 
实践 经 验 , 可 以 对 ISMS 进行 评审 和 评估 ,并 在 适当 时 候 , 测 量 过 程 的 执行 情况 ,并 将 结果 
报告 管理 者 以 供 评审 。 

根据 检查 的 结果 ,包括 ISMS 内 部 审核 和 管理 评审 的 结果 或 者 其 他 相关 信息 ,对 相应 
的 情况 进行 相应 的 处 置 , 采 取 纠 正和 预防 措施 ,以 持续 改进 ISMS( 保 持 和 改进 ISMS)。 

然后 再 进入 新 的 一 轮 PDCA 循环 。 通 过 这 样 一 个 过 程 相关 的 组 织 和 信息 系统 就 可 
以 成 为 一 个 受 控 的 信息 系统 。 

信息 安全 管理 体系 以 BS 7799 为 基础 ,在 BS 7799-2:2002 中 定义 了 9 个 建立 步骤 或 
阶段 : 

。 第 1 步 ,定义 信息 安全 管理 体系 的 范围 ; 
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。 第 2 步 ,定义 安全 方针 ; 

。 第 3 步 ,确定 系统 化 的 风险 评估 方法 ; 

。 第 4 步 , 确 定 风险 ; 

。 第 5 步 ,评估 风险 ; 

。 第 6 步 ,识别 和 评价 供 处 理 风险 的 可 选 措施 ; 

。 第 7 步 ,选择 控制 目标 和 控制 措施 处 理 风 险 ; 

。 第 8 步 ,准备 适用 性 声明 ; 

。 第 9 步 ,管理 层 批准 残余 风险 。 

建立 信息 安全 管理 体系 ,首先 要 建立 一 个 合理 的 信息 安全 管理 框架 。 根 据 ISO 27001 
从 信息 系统 的 所 有 层面 进行 整体 安全 建设 ,并 从 信息 系统 本 身 出 发 ,通过 建立 资产 清单 ， 
进行 风险 分 析 ,选择 控制 目标 与 控制 措施 等 步骤 ,建立 信息 安全 管理 体系 。 

可 以 看 出 ,信息 安全 管理 主要 就 是 一 系列 的 活动 ,这 些 活动 相互 协调 ,以 控制 组 织 面 
临 的 风险 。 而 这 些 活 动 又 要 围绕 根据 风险 评估 建立 的 控制 目标 和 控制 措施 来 展开 (来 选 
择 和 实施 ) ,包括 管理 手段 和 技术 方法 等 。 这 些 管理 活动 要 遵循 PDCA 模型 。 

在 建立 信息 安全 管理 体系 过 程 中 ,为 了 对 组 织 所 面临 的 信息 安全 风险 实施 有 效 的 控 
制 ,需要 针对 具体 的 威胁 和 脆弱 性 采取 适宜 的 控制 措施 。 

首先 看 一 下 面临 的 风险 都 有 哪些 。 从 2013 年 黑 帆 大 会 上 最 酷 黑 客 技 术 的 角度 来 看 
一 下 面临 的 风险 (2013 年 的 黑 帽 大 会 ) 很 具有 代表 性 。 黑 帽 大 会 可 以 说 是 全 球 黑 客 的 盛 
宴 , 一 年 一 度 , 代 表 着 最 热 的 点 和 最 牛 的 技术 。 在 这 次 大 会 上 ,美国 国家 安全 局 局 长 基 
思 ， 亚 历 山大 发 表 了 演讲 ,不 过 他 在 演讲 的 过 程 中 ,被 人 们 吹 口哨 、 扔 东西 ,应 该 还 是 和 
“棱镜 门 ”这 种 事情 有 关 。 

2013 年 ,著名 的 白 帽 黑客 巴 纳 拜 。 杰克 (出 生 于 1977 年 11 月 22 日 ,国籍 为 新 西 兰 ， 
后 来 在 美国 生活 ) 本 打算 在 2013 年 7 月 31 日 开幕 的 黑 帽 大 会 上 展示 还 控 杀人 ”黑客 绝 
技 ”, 就 在 这 项 “黑客 绝技 ”曝光 前 夕 ,也 就 是 在 2013 年 7 月 25 日 , 即 黑 帽 大 会 召开 一 周 
前 ,杰克 突然 在 美国 旧金山 神秘 死亡 ,被 发 现 死 于 旧金山 的 公寓 内 ! 终年 35 岁 。 他 最 后 
一 份 工作 是 在 IOActive Labs 安全 顾问 公司 担当 软件 安全 研究 员 。 那 么 ,他 到 底 要 在 黑 
帽 大 会 上 展示 什么 样 的 绝技 呢 ?” 他 本 来 是 要 带 来 一 场 关于 心脏 起 捕 器 (Pacemaker) 和 植 
入 型 心脏 复 律 除 颤 器 (ICD) 安 全 研究 的 议题 。 

只 需 在 9m 之 外 的 一 台 笔记 本 电脑 .就 能 入侵 植 人 式 心脏 起 捕 器 等 无 线 医疗 装置 , 然 
后 向 其 发 出 一 系列 830V 高 压 电 击 , 足 以致 人 死地 .从 而 令 * 琐 控 杀 人 ?成 为 现实 。 杰 克 表 
示 , 问 题 在 于 心脏 起 捕 器 和 心脏 除 闸 器 都 是 有 无 线 接收 装置 的 ,可 以 调节 它们 的 工作 模 
式 ;: 正 是 这 个 无 线 遥 控 渠 道里 面 存在 漏洞 。 杰 克 声 称 , 他 已 经 发 现 多 家 厂商 的 心 胜 起 搏 器 
漏洞 ,并 及 时 地 将 这 个 漏洞 告知 了 这 些 厂 商 ,希望 这 些 厂 商 及 时 改善 提高 安全 措施 。 他 本 
来 准备 告诉 我 们 ,在 2006 年 ,美国 食品 和 药物 管理 局 批准 了 基于 WiFi 的 植 入 设备 的 大 
规模 使 用 ,而 2006 年 仅 在 美国 境内 就 有 35 万 心脏 起 搏 器 和 17. 3 万 除 颤 器 使 用 者 。 这 其 
中 所 隐 含 的 安全 漏洞 ,无疑 是 非常 “致命 "的 。 他 是 本 次 黑 帽 大 会 上 最 酷 的 黑客 技术 的 第 
一 名 ,他 的 上 榜 理由 不 仅 是 因为 这 项 本 来 就 足够 吸引 眼球 的 酷 技术 ,更 是 因为 杰克 的 去 
世 , 让 这 项 技术 被 毫 无 悬念 地 被 评 为 5 颗 星 。 虽 然 这 项 “黑客 绝技 ” 因 杰 克 的 去 世 未 出 现 ， 
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但 目前 ,大 量 医疗 设备 使 用 无 线 协 议 传输 数据 ,如 果 设 备 制造 商 缺 乏 安全 编程 经 验 ,医疗 
设备 被 黑客 人 侵 控制 绝 不 是 天 方 夜 谭 。 

不 过 巴 纳 拜 。 杰克 是 在 这 次 黑 帽 大 会 的 前 一 周 去 世 的 ,也 就 是 说 他 的 这 项 技术 还 没 
有 给 大 家 展示 , 那 为 什么 会 神秘 死亡 呢 ? 来 看 看 他 还 有 什么 经 历 吧 。 

原来 杰克 早 在 2010 年 黑 帽 大 会 拉 斯 维 加 斯 峰会 上 就 做 了 关于 ATM 安全 的 议题 , 掀 
起 了 业界 甚至 公众 对 于 ATM 安全 的 关注 ,这 个 议题 当时 本 应 在 2009 年 发 布 , 但 是 由 于 
某 ATM 厂商 的 干预 而 推迟 了 一 年 。 他 在 黑 帽 2010 演示 了 攻击 ATM 取款 机 ,利用 自己 
研发 的 一 款 名 为 Jackpotting 的 软件 成 功 侵入 装 有 两 种 不 同系 统 的 ATM 机 并 让 其 狂 吐 
钞票 。 他 也 因此 闻名 于 世 , 成 为 世界 顶级 白 帽 子 黑客 。 他 此 项 展示 缘 于 他 小 时 候 的 梦想 。 
他 在 小 时 候 看 电影 (终结 者 2) 时 有 一 个 场景 : John Connor 走 到 一 台 ATM 取款 机 前 , 掏 
出 一 张 卡 刷 过 之 后 ,ATM 机 源源 不 断 地 吐 钱 。 后 来 就 有 了 2010 年 在 黑 帽 大 会 演示 攻击 
ATM 的 场景 。 

后 来 ,在 2012 年 黑 帽 大 会 上 , 巴 纳 拜 。 杰 克 又 做 了 演讲 和 演示 ,这 个 演示 是 医疗 设备 
方面 的 ,因为 他 发 现 当 人 们 身体 出 现 问题 后 , 越 来 越 依赖 医疗 设备 ,例如 糖尿 病 患 者 ,依靠 
血糖 仪 来 监测 体内 血糖 水 平 , 靠 胰岛 素 泵 全 天 候 随 时 注射 胰岛 素 。 所 以 在 2012 年 黑 帽 大 
会 上 ,当时 还 在 美国 McAfee 公司 当 信息 安全 专家 的 巴 纳 拜 。 杰 克 发 现 了 一 系列 厂商 胰 
岛 素 泵 的 安全 问题 ,演示 了 如 何 远程 操控 医疗 设备 ,他 轻而易举 地 就 改变 了 设备 的 安全 参 
数 ,控制 注射 泵 给 病人 注射 药物 。 杰 克 模 拟 了 黑客 入 侵 医 疗 设备 的 全 过 程 ,操控 设备 按照 
他 的 意志 行凶 ,整个 过 程 让 现场 观摩 的 医生 和 设备 供应 商 大 为 震惊 。 杰 克 和 团队 利用 强 
大 的 无 线 电 设备 成 功 干扰 了 一 台 胰 岛 素 泵 的 正常 工作 ,这 个 时 候 再 利用 高 超 的 计算 机 技 
术 算 改 胰 岛 素 泵 原本 的 工作 流程 ,实现 逆向 通信 。 至 此 ,这 台 胰 岛 素 泵 就 处 于 黑客 的 控制 
中 ,黑客 可 随意 加 快 胰岛 素 泵 的 注射 频率 , 短 时 间 内 把 300 个 单位 的 胰岛 素 注 入 病人 体内 ， 
这 样 病人 就 会 血糖 急 降 ,抢救 不 及 时 就 会 死亡 。 杰 克 说 ,只 要 让 他 在 距离 胰岛 素 泵 91m 以 
内 的 范围 就 可 实现 干扰 ,把 胰岛 素 泵 玩弄 于 股 掌中 ,又 不 被 患者 本 人 和 医护 人 员 识 破 。 

心脏 除 颤 器 .胰岛素 泵 ,心脏 监控 仪 等 都 是 与 病人 生命 安全 息息相关 的 医疗 设备 , 通 
常人 们 只 关心 这 些 医 疗 设备 的 质量 安全 ,而 巴 纳 拜 。 杰 克 的 研究 把 人 们 的 关注 焦点 引 向 
了 医疗 设备 的 信息 安全 。 身 体 出 现 问题 后 人 们 越 来 越 依赖 医疗 设备 ,例如 糖尿 病 患 者 , 依 
靠 血糖 仪 来 监测 体内 血糖 水 平 . 靠 胰 岛 素 泵 全 天 修 随 时 注射 胰岛 素 。 而 对 于 心脏 病 患 者 
来 说 ,一 个 心脏 起 捕 器 或 心脏 除 闸 器 则 至 关 重 要 。 正 是 因为 医疗 设备 与 病人 的 身体 有 密 
切 联 系 , 才 给 了 黑客 可 乘 之 机 ,这 些 医疗 设备 存在 的 安全 隐患 才 更 加 可 怕 。 

杰克 的 研究 本 可 以 让 他 在 黑市 上 赚 得 让 人 想 都 不 敢 想 的 金钱 ,不 过 他 没有 把 这 些 安 
全 研究 运用 于 黑市 中 ,而 是 积极 地 与 相关 厂商 沟通 协调 ,保卫 了 广大 用 户 的 利益 ,促进 了 
安全 行业 的 发 展 , 这 也 是 他 受到 全 世界 黑客 尊重 的 原因 之 一 。 这 些 就 能 解释 为 什么 他 叫 
白 帽 黑客 ,因为 他 研究 这 些 攻击 技术 .黑客 技术 ,不 是 为 了 去 谋 利 , 而 是 为 了 告诉 世人 ,上告 
诉 这 些 厂 商 , 使 他 们 能 够 采取 一 定 的 安全 措施 避免 被 攻击 。 所 以 ,有 过 这 些 经 历 , 他 在 这 
次 黑 帽 大 会 之 前 一 周 死亡 ,一 定 是 有 什么 人 害怕 他 顾忌 他 。 截 至 今天 ,官方 仍 未 发 布 杰克 
的 死因 ,由 于 其 研究 方向 极 具 想象 空间 ,对 于 其 死因 的 猜测 仍 未 结束 ,今天 让 我 们 再 次 悼 
念 这 位 为 安全 研究 献身 的 研究 员 。 他 以 自己 的 生命 让 世人 警醒 .也 让 世人 尊重 。 其 他 的 
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黑客 技术 简要 介绍 如 下 。 

1. 智能 电视 监视 一 一 关注 度 : 4.5 颗 星 

你 信 吗 ? 你 家 里 的 电视 机 能 够 监视 你 的 一 举 一 动 ! 黑 帆 大 会 上 ,两 名 黑客 展示 了 他 
们 如 何 让 三 星 生产 的 最 新 电视 机 (配置 了 摄像 头 ) 监 视 用 户 。 因 为 三 星 智能 电视 的 菜单 使 
用 了 传统 的 网 页 技术 ,所 以 存在 和 传统 Web 应 用 一 样 的 漏洞 ,例如 执行 任意 代码 等 。 

上 榜 理 由 :“ 智 能 家 居 ” 和 * 物 联网 ?无 疑 是 很 酷 的 ,但 是 随 着 越 来 越 多 家 居 设 备 连 到 
网 上 ,安全 威胁 也 在 变 大 。 从 目前 的 关注 度 看 ,该 技术 可 评 为 4. 5 颗 星 。 智 能 家 居 设 备 已 
成 为 黑客 实施 攻击 的 目标 ,智能 家 居 设 备 带 来 的 安全 威胁 可 能 是 某 种 形式 的 身体 伤害 ,更 
糟糕 的 是 ,智能 家 居 设 备 不 像 手 机 和 笔记 本 电脑 那样 ,有 密码 保护 和 通过 安全 测试 。 

2. 充电 器 用 作 黑 客 工具 一 一 关注 度 : 4 颗 星 

小 心 了 ! 当 你 的 iPhone 连接 到 USB 充电 器 时 ,黑客 可 在 1min 内 将 恶意 程序 植 人 
iPhone 中 。 黑 帽 大 会 上 ,乔治 亚 理工 学 院 的 三 名 研究 人 员 展 示 了 一 款 “ 概 念 验证 ”型 充电 
器 , 它 基 于 开源 单 片 计 算 机 BeagleBoard 而 开发 ,可 在 iOS 设备 上 秘密 安装 恶意 软件 。 

上 榜 理由 : 听 上 去 就 很 可 怕 ,不 过 ,幸好 身边 还 没 人 遇 到 过 ,关注 度 差不多 是 4 颗 星 。 
充电 器 用 作 黑 客 工具 ,恶意 软件 的 植 和 人 过程 不 需要 手机 用 户 做 出 互动 ,非常 具有 危险 性 ， 
而 且 所 有 iPhone 用 户 都 面临 这 一 风险 ,甚至 是 所 有 的 iOS 设备 。 随 着 苹果 设备 的 广泛 应 
用 ,这 种 利用 USB 连接 线 入 侵 iOS 设备 的 攻击 手段 应 该 引起 安全 防护 人 员 的 关注 。 

3. 一 秒 破解 豪 车 一 一 关注 度 : 4 颗 星 

汽车 会 成 为 黑客 入 侵 的 目标 吗 ? 在 美国 DEFCON21 上 , Charlie Miller 和 Chris 
Valasek 两 位 研究 员 通 过 黑 进 汽车 内 多 个 电子 控制 单元 更 改 仪 表盘 上 的 油 量 和 车 速 信 
息 , 发 动 碰撞 前 保护 系统 ,控制 部 分 电子 动力 转向 系统 中 的 功能 , 鸣 笛 、 锁 死 司 机 的 安全 
带 ,其 至 让 刹车 失灵 等 多 个 行为 。 

上 榜 理 由 : 在 福特 波 虎 .丰田 普锐斯 被 黑客 找到 漏洞 的 同时 ,大 众 旗下 多 款 车 型 也 被 
密码 学 家 发 现 漏洞 ,可 以 被 黑客 轻松 开锁 点 火 , 就 像 车 钥匙 被 人 拿 走 一 样 。 而 且 目 前 ,市 
面 上 多 数 导航 仪 能 被 远程 Hacking, 这 意味 着 拥有 电子 锁 、 点 火 系统 .GPS 等 智能 设备 的 
汽车 安全 问题 将 日 趋 严重 。 好 在 这 还 只 是 个 开始 ,姑且 先 评 4 颗 星 吧 。 

4. 箱子 将 硬币 换 成 比特 币 一 一 关注 度 : 3.5 颗 星 

黑客 Garbage 及 其 组 织 设计 了 一 种 可 将 金属 硬币 兑换 成 比特 币 的 手提 箱 , 其 核心 是 
Raspberry Pi 迷你 PC 和 移动 4G 通信 模块 ,耗资 约 250 美元 。 投 入 零钱 后 机 器 核查 Mt. 
Gox 比特 币 的 兑换 汇率 ,随后 打印 出 含 QR 二 维 码 的 收据 ,其 中 包含 可 将 零钱 再 兑现 的 加 
密 哈 希 值 。 

上 榜 理 由 : 不 得 不 说 ,Garbage 跟 他 的 团队 TwoSixNine 真是 太 有 才 了 。 比 特 币 在 
2013 年 受到 热烈 追捧 ,价格 一 路 飙升 ,这 跟 它 日 益 增 强 的 流通 性 自然 密 不 可 分 。 将 硬币 
换 成 比特 币 , 想 想 就 觉得 方便 。 不 过 ,这 么 酷 的 手提 箱 不 知道 什么 时 候 能 够 普及 呢 ? 好 
吧 ,考虑 到 可 操作 性 的 问题 ,给 3.5 颗 星 。 

信息 安全 管理 体系 的 建立 就 是 要 根据 组 织 或 者 系统 所 面临 的 风险 确定 控制 目标 ,并 
选取 相应 的 控制 措施 。 也 这 是 我 们 这 次 课 的 重点 ,那么 什么 是 控制 措施 呢 ? 

控制 措施 就 是 管理 风险 的 一 些 方法 ,它们 可 以 是 行政 技术、 管理 ,法 律 等 方面 的 措 
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施 ,目的 是 为 了 达到 组 织 的 信息 安全 控制 目标 ,提供 保证 ,并 能 预防 ,检查 和 纠正 风险 。 所 
以 控制 措施 的 分 类 分 为 预防 性 控制 .检查 性 控制 、 纠 正 性 控制 。 

预防 性 控制 措施 是 指出 在 问题 发 生前 的 潜在 问题 ,并 做 出 纠正 。 例 如 仅 雇 佣 胜 任 的 
人 员 、 职 责 分 工 \、 使 用 访问 控制 软件 ,只 允许 授权 用 户 访问 敏感 文件 。 检 查 性 控制 : 检查 
控制 发 生 的 错误 ,下 漏 或 蓄意 行为 。 例 如 生产 作业 中 设置 检查 点 、 网 络 通信 过 程 中 的 
Echo 控制 、 内 部 审计 。 纠 正 性 控制 : 减少 危害 影响 ,修复 检查 性 控制 发 现 的 问题 。 包 括 
意外 处 理 计 划 、 备 份 流程 恢复 运营 流程 。 

下 面 是 在 真实 世界 中 保护 物理 安全 的 一 些 措施 。 例 如 装甲 运输 车 就 相当 是 负责 把 东 
西 从 一 个 地 方 安全 运 到 另 一 个 地 方 的 安全 保护 连接 ; 门 锁 就 相当 于 是 边界 安全 ,把 门 内 和 
门 外 隔 离开 ;摄像 关 和 保安 相当 于 是 安全 监视 措施 ;指纹 识别 就 是 身份 识别 措施 。 

而 在 虚拟 世界 中 ,再 来 看 一 下 保护 信息 安全 的 相应 措施 。 例 如 ,在 虚拟 世界 中 ,安全 
保护 连接 采用 的 就 是 VPN( 虚 拟 专用 网 络 ,在 公用 网 络 上 建立 专用 网 络 ,进行 加 密 通信 )， 
负责 数据 的 安全 传输 ;而 防火 墙 就 属于 边界 安全 ;入 侵 检测 和 扫描 就 相当 于 是 物理 安全 中 
的 摄像 头 和 保安 ,是 安全 监视 措施 ;而 PKI/CA 就 是 身份 识别 措施 。 

下 面 是 信息 安全 管理 中 的 一 些 控 制 措施 ,例如 对 于 中 断 设备 要 关闭 安全 维护 的 “后 
门 ”, 对 于 内 部 主机 ,需要 进行 漏洞 扫描 和 补丁 管理 ,同时 还 要 进行 病毒 防护 ,对 内 部 主机 
上 的 敏感 信息 要 进行 数据 文件 加 密 , 同 时 还 要 采用 审计 系统 。 对 于 防火 墙 ,主要 是 访问 控 
制 策略 的 设置 ,同时 还 要 进行 人 侵 检测 和 实时 监控 ,这 些 都 是 保障 一 个 信息 系统 能 够 安全 
运转 要 经 常 采用 的 控制 措施 。 在 ISO27002 中 ,把 这 些 看 似 没有 章法 的 控制 措施 进行 了 
规范 。 在 该 规范 中 详细 介绍 了 11 大 控制 方面 .39 个 控制 目标 .133 项 信息 安全 控制 措施 
的 规范 内 容 ( 根 据 BS7799-2 ISO/IEC 17799:2005 和 ISO/VIEC27001:2005 等 标准 ,结合 
组 织 信息 资产 可 能 存在 的 威胁 ,脆弱 性 )。 这 11 大 类 包括 人 员 安 全 ,资产 分 类 和 控制 (又 
称 资产 管理 ) 物理 和 环境 安全 ,通信 与 操作 管理 ,安全 组 织 、 符 合 性 保证 、 信 息 安 全 方针 、 
访问 控制 ,系统 获得 .开发 和 维护 、 信 息 安全 事件 管理 .业务 持续 性 管理 等 。 

下 面 介绍 信息 安全 管理 控制 措施 的 作用 。 首 先 , 想 完善 信息 安全 管理 框架 , 那 就 要 先 
做 风险 评估 ,根据 风险 评估 的 结果 进行 安全 规划 ,然后 建立 信息 安全 管理 框架 ,选择 控制 
措施 ,这 些 控制 措施 包括 管理 措施 和 技术 手段 ,选取 的 这 些 控制 措施 还 要 经 过 安全 审计 ， 
来 判断 是 否 符 合 控制 标准 。 如 果 符 合 , 则 确立 该 信息 安全 管理 框架 ,并 且 该 管理 框架 要 根 
据 实际 情况 进行 持续 改进 ,如 果 不 符合 控制 标准 , 则 需要 重新 调整 ,完善 该 信息 安全 管理 

信息 安全 管理 包括 人 员 安 全 、 资 产 管理 ,物理 和 环境 安全 、 通 信和 操作 管理 这 四 大 控 
制 类 。 例 如 ,一 名 网 络 管理 员 ,发 现 最 近来 自 外 部 的 病毒 攻击 很 猩 狐 , 要 是 在 15 万 买 个 防 
毒 墙 就 解决 问题 了 ,那么 找 谁 去 要 这 笔 钱 , 谁 来 采购 这 些 东 西 ? 再 例如 ,如 果 是 一 名 普通 
工作 人 员 ,内 网 计算 机 上 不 了 外 网 没 办 法 打 补丁 ,那么 该 找 谁 获得 帮助 ? 所 以 ,应 该 有 一 
群 人 ,至 少 包括 单位 领导 、 技 术 部 门 和 行政 部 门 的 人 组 织 在 一 起 ,应 该 建立 一 个 组 织 ,专门 
负责 信息 安全 的 事 。 在 一 个 机 构 中 ,安全 角色 与 责任 的 不 明确 是 实施 信息 安全 过 程 中 的 
最 大 障碍 ,建立 安全 组 织 与 落实 责任 是 实施 信息 安全 管理 的 第 一 步 。 而 这 个 信息 安全 管 
理 组 织 中 一 定 要 有 一 个 高 层 管理 者 ,这 个 高 层 管理 者 就 是 能 说 了 算 的 ,可 以 给 人 、 给 钱 、 给 
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设备 ,提出 工作 要 求 还 给 与 资源 保障 的 那个 人 。 除 了 高 层 管理 者 还 需要 有 信息 化 技术 部 
门 的 参与 ,其 他 与 信息 安全 相关 的 部 门 ,如 行政 .人 事 、 安 保 、 采 购 、 外 联 等 部 门 ,都 应 参与 
到 组 织 体系 中 ,各 司 其 职 , 协 调配 合 。 所 以 ,各 级 信息 安全 领导 小 组 的 组 长 一 般 由 各 级 系 
统 的 高 层 领导 挂帅 ,并 结合 与 信息 安全 相关 各 职能 部 门 的 主要 负责 人 参加 。 那 怎么 理解 
符合 性 呢 ? 例如 Internet 上 至 少 有 30 000 多 个 公开 的 黑客 网 站 ,这 些 网 站 除了 黑客 知识 
与 技能 的 培训 外 ,还 提供 了 大 量 的 黑客 工具 ,一 个 稍 具 电脑 知识 的 中 学 生 经 过 黑客 网 站 的 
培训 ,利用 下 载 的 黑客 工具 就 可 以 发 起 有 一 定 威胁 性 的 攻击 。 最 近 有 人 甚至 在 网 上 以 几 
百 元 的 价格 兜售 定制 的 病毒 。 但 同样 的 情况 如 果 发 生 在 现实 生活 中 ,结果 就 不 一 样 了 。 
例如 有 人 想 办 一 个 小 偷 培训 学 校 , 可 能 还 没 开 张 就 被 取缔 了 ;很 少 有 人 敢 故 意 培 养 并 散布 
传染 病 病毒 ,否则 必 将 受到 法 律 的 严惩 。 所 以 ,解决 信息 安全 问题 不 能 仅 依靠 安全 技术 ， 
还 需要 依靠 法 律 的 力量 ,要 制定 并 执行 一 系列 完善 的 法 律 法规 才 是 保护 信息 安全 最 重要 
的 手段 。 所 以 信息 安全 管理 的 全 部 过 程 既 要 与 法 律 法 规 的 要 求 相符 合 ,又 要 符合 安全 方 
针 , 标 准 和 相关 技术 要 求 ,确保 系统 符合 组 织 安 全 方针 和 标准 ,还 要 符合 信息 系统 审计 要 
求 。 这 就 是 符合 性 要 求 的 内 涵 。 
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每 个 主要 安全 类 别 包括 多 个 控制 目标 ,声明 要 实现 什么 目标 .什么 功能 ,达到 什么 要 
求 。 每 个 控制 目标 都 会 有 一 个 或 多 个 控制 措施 ,可 被 用 于 实现 该 控制 目标 。 每 个 控制 措 
施 又 都 会 有 相应 的 实施 指南 ,实施 指南 就 是 对 实施 该 控制 措施 的 指导 性 说 明 。 这 些 控制 
措施 并 不 是 适用 于 任何 场合 , 它 不 会 考虑 到 使 用 者 的 具体 环境 和 技术 限制 ,也 不 可 能 对 一 
个 组 织 中 的 所 有 人 都 适用 。 

基于 风险 分 析 的 安全 管理 方法 : 信息 安全 管理 是 指导 和 控制 组 织 的 关于 信息 安全 风 
险 的 相互 协调 的 活动 :信息 安全 策略 方针 为 信息 安全 管理 提供 导向 和 支持 ;控制 目标 与 控 
制 措施 的 选择 应 该 建立 在 风险 评估 的 基础 上 ;要 考虑 控制 成 本 与 风险 平衡 的 原则 ,将 风险 
降低 到 组 织 可 接受 的 水 平 ; 需 要 全 员 参 与 ;遵循 管理 的 一 般 模式 一 一 PDCA 模型 。 

因为 对 于 管理 来 说 ,人 员 安 全 管理 中 人 的 因素 是 最 重要 ,也 是 最 难 的 。 

案例 一 : 2010 年 3 月 中 旬 ,汇丰 控股 发 布 公告 ,其 旗下 汇丰 私人 银行 (瑞士 ) 的 一 名 
IT 员工 , 曾 于 3 年 前 窃取 了 银行 客户 的 资料 ,失窃 的 资料 涉及 1.5 万 名 于 2006 年 10 月 
前 在 瑞士 开户 的 现 有 客户 。 鉴 于 此 ,汇丰 银行 3 年 来 共 投放 1 亿 瑞 士 法 郎 , 用 来 将 IT 系 
统 升级 并 加 强 保安 。 这 让 人 想起 了 (论语 ) 中 的 一 句 话 :“ 如 轴 季 孙 之 忧 ,不 在 额 (zhuan) 
奥 (yu) ,而 在 萧 墙 之 内 也 .” 萧 墙 之 祸 比喻 灾祸 、 变 乱 由 内 部 原因 所 致 。 所 以 加 强 对 内 部 
人 员 的 管理 是 很 重要 的 。 

案例 二 : 某 单 位 负责 信息 化 工作 的 领导 说 :“ 为 什么 要 买 防火 墙 ? 我 们 盖 楼 时 是 严 
格 按照 国家 消防 有 关 规 定 施工 的 呀 !" 所 以 对 人 员 的 管理 是 多 个 阶段 层次 的 管理 ,例如 让 
这 个 领导 上 任 前 ,是 否 对 其 进行 考查 ,是 否 能 承担 起 信息 化 工作 的 领导 责任 。 所 以 人 力 资 
源 安 全 的 目标 就 是 从 雇佣 前 雇佣 中 和 雇佣 后 三 方面 都 要 有 相应 的 要 求 和 措施 。 

来 看 看 人 员 安 全 管理 的 目标 ,就 是 要 在 任用 之 前 ,确保 雇员 、 承 包 方 人 员 和 第 三 方 人 
员 承 担 的 角色 是 适合 的 ,并 理解 其 职责 ,以 降低 信息 资源 被 窃 .欺诈 和 误 用 的 风险 ;在 人 员 

















第 9 章 “ 信 息 安全 管理 


任用 之 中 ,要 确保 所 有 的 雇员 承包 方 人 员 和 第 三 方 人 员 知 悉 信 息 安全 威胁 和 利害 关系 、 
他 们 的 职责 和 义务 ,并 准备 好 在 其 正常 工作 中 支持 组 织 的 安全 方针 ,以 减少 人 为 出 错 的 风 
险 ; 在 人 员 任 用 终止 或 发 生 其 他 变化 时 ,要 确保 所 有 的 雇员 、 承 包 方 人 员 和 第 三 方 人 员 以 
一 个 规范 的 方式 退出 一 个 组 织 或 改变 其 任用 关系 。 
。 雇佣 前 一 一 确保 员工 、 合 同方 和 第 三 方 用 户 了 解 他 们 的 责任 并 适合 于 他 们 所 考虑 
的 角色 ,减少 盗窃 .滥用 或 设施 误 用 的 风险 。 
。 雇佣 中 一 一 确保 所 有 的 员工 、 合 同方 和 第 三 方 用 户 了 解 信息 安全 威胁 和 相关 事 
宜 、 他 们 的 责任 和 义务 ,并 在 他 们 的 日 常 工作 中 支持 组 织 的 信息 安全 方针 ,减少 人 
为 错误 的 风险 。 
。 解聘 和 变更 一 一 确保 员工 、 合 同方 和 第 三 方 用 户 离开 组 织 或 变更 雇佣 关系 时 以 一 
种 有 序 的 方式 进行 。 

所 以 人 员 管 理 包含 的 内 容 就 是 要 在 上 岗 前 .上 岗 中 和 上 岗 后 : 明确 故意 或 者 无 意 
的 人 为 活动 可 能 给 数据 和 系统 造成 风险 ; @ 在 正式 的 工作 描述 中 建立 安全 责任 ,进行 员 
工人 职 审查 等 。 

下 面 以 华为 人 员 管 理 案例 来 说 明 这 个 问题 。 华 为 员工 几 万 人 ,其 中 市 场 人 员 占 
33%,85% 以 上 都 是 名 牌 大 学 的 本 科 以 上 毕业 生 。 那 华为 是 怎么 进行 人 员 管 理 呢 ? 

第 一 招 : 首先 是 招 人 , 即 选择 良 才 。 

两 种 方法 : 社会 招聘 和 校园 招聘 。 社 会 招聘 就 是 招 非 应 届 生 ,例如 因为 种 种 原因 没 
有 在 毕业 之 前 签 下 一 家 公司 的 ,不 过 一 般 非 应 届 生 找 工 作 的 难度 比 应 届 生 要 大 得 多 。 华 
为 更 热衷 于 校园 招聘 ,已 经 形成 了 自己 的 专业 招聘 模式 。 一 般 是 每 年 10 月 份 开始 ,各 个 
公司 企业 单位 就 要 开始 做 宣讲 会 了 , 谁 都 想 把 好 的 学 生 收 入 自己 的 公司 ,所 以 这 些 公司 也 
在 抢 时 间 点 ,因为 每 个 学 生 都 有 个 三 方 协议 ,而 且 通 常 一 个 学 生 会 同时 参加 几 家 公司 的 面 
试 和 笔试 ,如 果 收 到 几 个 Offer, 就 要 选择 和 哪个 公司 签 ,一 旦 决定 就 要 签 这 个 三 方 协议 ， 
这 样 基本 就 定 下 来 了 ,不 能 随意 变 来 变 去 。 在 签 三 方 协议 之 前 ,该 学 生还 可 以 随意 决定 去 
不 去 某 公 司 , 接 不 接受 该 公司 的 Offer, 可 如 果 好 的 学 生 已 经 和 某 公 司 签订 了 三 方 协议 ,其 
他 晚 来 的 公司 就 都 没有 机 会 了 ,所 以 各 个 公司 会 在 10 月 、11 月 集中 招聘 ,几乎 每 天 都 有 
公司 开 宣 讲 会 。 

第 一 步 ,校园 推介 会 ,也 叫 宣讲 会 。 在 宣讲 会 上 ,会 先 由 公司 的 某 个 主管 介绍 华为 的 
基本 情况 ,宣传 公司 的 文化 .公司 的 发 展 等 ,然后 再 安排 一 两 个 华为 近年 招聘 的 新 员工 发 
表 有 关 自 己 在 华为 如 何 成 长 的 演说 ,介绍 公司 给 员工 提供 了 什么 样 的 环境 。 最 后 接收 简 
历 并 给 学 生 们 发 一 些 表 , 有 意向 的 同学 可 以 填写 ,公司 可 以 了 解 一 下 学 生 的 情况 ,或 者 做 
最 初 的 筛选 。 第 二 步 ,笔试 ,主要 是 专业 知识 和 个 人 素质 测试 。 第 三 步 , 面 试 ,通常 会 有 三 
到 四 轮 面试 ,最 开始 可 能 是 由 技术 人 员 的 技术 面试 ,然后 交 于 人 力 资 源 进行 个 人 素质 方面 
的 考察 ,再 会 有 一 名 公司 领导 出 面 进 行 面试 ,内 容 不 定 。 内 容 涉 及 专业 知识 .个 人 知识 面 
和 个 人 素质 (多 轮 ) 。 第 四 步 , 公 司 考察 和 宴会 (现场 签 协议 ) ,他 们 希望 快 点 把 他 们 看 中 的 
学 生 签 下 来 ,免得 被 别 的 公司 抢 跑 了 。 现 场 没 签 的 ,也 可 以 回去 考虑 一 下 再 签 。 

第 二 招 : 魔鬼 培训 。 

新 员工 都 要 接受 华为 的 培训 ,培训 过 程 就 是 一 次 再 生 经 历 。 在 深圳 ,华为 有 自己 的 培 
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训 学 校 和 培训 基地 。 华 为 的 所 有 员工 都 要 经 过 培训 ,合格 后 才 可 以 上 岗 。 华 为 还 有 自己 
的 网 上 学 校 ,可 以 在 线 为 分 布 在 世界 各 地 的 华为 人 进行 培训 。 

1. 上 岗 培 训 

接受 上 岗 培 训 的 人 主要 是 应 届 毕 业 生 ,培训 过 程 跨 时 之 长 .内容 之 丰富 考评 之 严格 ， 
对 于 毕业 生来 说 这 样 的 经 历 是 炼狱 ,这 样 的 培训 又 称 * 魔 鬼 培 训 ”。 主 要 包括 军事 训练 、 企 
业 文 化 、 车 间 实 习 与 技术 培训 、 营 销 理论 与 市 场 演习 等 。 

2. 岗 中 培训 

为 了 保证 整个 销售 队伍 时 刻 充满 激情 与 活力 ,华为 内 部 形成 了 一 套 完整 针对 个 人 的 
成 长 计划 。 有 计划 地 、 持 续 地 对 员工 进行 充电 ,让 员工 能 够 及 时 了 解 通信 技术 的 最 新 进 
展 、 市 场 营销 的 新 方法 和 公司 的 销售 策略 。 实 行 在 职 培训 与 脱产 培训 相 结合 ,传统 教育 和 
网 络 教 育 相 结合 。 

3. 下 岗 培训 

由 于 种 种 原因 ,有 一 些 员工 不 能 适合 本 岗位 ,华为 则 会 给 这 些 员工 提供 下 岗 培训 。 主 
要 内 容 是 岗位 所 需 的 技能 与 知识 。 要 是 员工 经 过 培训 还 是 无 法 适合 原 岗位 ,华为 则 会 给 
这 些 员工 提供 新 职位 的 技能 与 知识 培训 ,帮助 他 们 继续 成 长 。 没 有 专业 的 招聘 ,就 不 能 招 
到 良 才 ; 无 系统 的 培训 ,华为 将 无 法 塑造 自己 的 销售 铁军 ,没有 办 法 让 整个 销售 队伍 统一 
思想 ;没有 完善 的 制度 ,华为 对 销售 团队 的 管理 将 “无 法 可 依 ”; 没 有 严格 的 考核 ,华为 的 制 
度 将 没有 任何 的 意义 ;没有 公平 有 效 且 完善 的 激励 制度 ,企业 的 销售 团队 将 像 死 水 一 样 
毫 无 动力 ! 这 一 切 都 是 管理 的 措施 和 艺术 。 

看 了 华为 这 个 例子 .知道 了 华为 在 岗 前 招 人 、 上 岗 培 训 和 离 岗 处 理 的 情况 ,可 以 来 总 
结 一 下 在 岗 前 、 岗 中 和 岗 后 为 了 达到 相应 的 目标 都 有 哪些 控制 措施 可 以 采用 。 

(1) 首先 是 雇佣 (上 岗 ) 前 , 它 可 以 采用 的 控制 措施 有 三 种 。 中 角色 和 职责 。 控 制 措 
施 : 明确 安全 角色 和 职责 ,并 形成 文件 。 实 施 指南 : 对 安全 角色 和 职责 进行 定义 ,并 清晰 
地 传达 给 岗位 候选 者 ;明确 人 员 应 遵守 的 安全 规章 制度 ;执行 特定 的 信息 安全 工作 ;向 组 
织 报告 安全 事件 或 潜在 风险 。 组 织 招聘 人 员 ,首先 是 为 了 满足 业务 需求 ,因此 安全 方面 的 
职责 往往 被 忽略 ,但 是 安全 必须 全 员 参 与 ,本 条 款 中 说 明 安全 职责 是 所 有 岗位 、 所 有 员工 
应 负 职 责 的 一 部 分 ,并 不 仅仅 是 信息 安全 从 业 人 员 , 例 如 , 像 组 织 报告 安全 事态 、 潜 伏 事态 
或 其 他 安全 风险 ,这 就 是 每 个 员工 都 应 承担 的 职责 。 本 条 款 中 很 明确 地 要 求 安全 角色 和 
职责 需要 形成 文件 。 加 审查 。 控 制 措施 : 对 所 有 任用 人 员 的 背景 验证 核查 要 按照 法 律 、 
对 应 业务 要 求 .被 访问 信息 的 类 别 来 执行 。 实 施 指南 : 对 担任 敏感 和 重要 岗位 的 人 员 要 
考察 其 身份 、 学 历 和 技术 背景 、 工 作 履 历 和 违法 违规 记录 。@@ 任 用 条 款 和 条 件 。 控 制 拱 
施 : 要 在 合同 或 专门 的 协议 中 ,明确 安全 职责 。 实施 指南 : 所 有 敏感 人 员 应 在 给 予 权限 
之 前 签署 保密 协议 ;扩展 到 组 织 场所 以 外 和 正常 工作 时 间 之 外 的 职责 ,例如 家 里 工作 的 情 
形 ;明确 如 果 漠 视 组 织 的 安全 要 求 所 要 采取 的 措施 。 

(2) 然后 是 雇佣 中 ,就 是 要 知悉 信息 安全 威胁 和 利害 关系 。 要 实现 这 个 目标 , 接 下 来 
给 出 了 三 个 方面 的 控制 措施 : 管理 者 的 重视 、 教 育 和 培训 及 违规 后 的 纪律 处 理 。 这 在 由 
辑 上 很 容易 理解 。@ 管 理 职责 。 控 制 措施 : 管理 者 应 要 求人 员 按 照 组 织 方针 策略 和 规程 
对 确保 组 织 安全 尽心 尽力 。 管 理 职 责 强调 的 是 管理 者 对 雇员 、 承 包 方 人 员 和 第 三 方 人 员 
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的 安全 要 求 ,通过 各 种 途径 让 所 有 的 员工 意识 到 他 们 的 安全 职责 等 。 实 施 指南 : 保证 其 
充分 了 解 所 在 岗位 的 信息 安全 角色 和 职责 ;遵守 任用 的 条 款 和 条 件 ; 持 续 拥有 适当 的 技能 
和 资质 。@ 信 息 安全 意识 教育 ,培训 。 控 制 措施 : 有 针对 性 地 进行 信息 安全 意识 教育 和 
技能 培训 。 名 纪律 处 理 过 程 。 控 制 措施 : 及 时 有 效 的 惩戒 措施 。 不 是 所 有 的 安全 事件 都 
是 可 以 预防 的 ,如 果 无 法 阻止 某 些 事件 的 发 生 , 就 只 能 通过 另外 一 条 途径 , 即 威慑 。 纪 律 
处 理 过 程 就 是 这 个 道理 。 如 同 防止 盗窃 ,一 方面 要 加 强 公民 的 防盗 意识 ,加 固 加 强 建筑 物 
入 口 的 控制 等 各 类 安防 措施 等 ,但 是 实践 证 明 , 即 使 所 有 的 人 都 已 经 丰衣足食 了 ,还 是 不 
能 排除 盗窃 获得 心理 快感 的 情况 存在 ,还 是 有 盗窃 事件 的 发 生 。 这 时 候 , 法 律 就 起 到 了 震 
慑 的 作用 。 

缺乏 基本 的 安全 意识 ,很 多 其 他 部 门 没 有 进行 统一 的 ` 系 统 的 安全 培训 和 学 习 的 机 
会 。 例 如 : 个 人 电脑 的 密码 设置 为 空 或 者 非常 脆弱 ; 系统 默认 安装 ,从 不 进行 补丁 升级 ; 
拨号 上 网 ,给 个 人 以 及 整个 单位 带 来 后 门 ;启动 众多 不 用 的 服务 等 。 人 员 层 次 不 同 ,流动 
性 大 ,安全 意识 薄弱 而 产生 病毒 泛滥 ,终端 滥用 资源 、 非 授权 访问 、 恶 意 终端 破坏 \ 信 息 汇 
露 等 安全 事件 不 胜 枚 举 。 正 是 由 于 员工 对 发 生 安全 问题 后 造成 的 后 果 不 负 任何 责任 ,从 
而 也 就 不 能 有 效 地 督促 员工 提高 自己 的 安全 意识 ,最 终 形成 恶性 循环 ,导致 员工 不 能 严格 
遵循 公司 的 安全 管理 制度 。 

再 来 看 看 美国 网 战 部 队 是 如 何 进 行人 员 管 理 的 。2010 年 2 月 ,美国 前 国防 部 副 部 长 
林 恩 在 接受 (时 代 ) 周 刊 采访 时 宣称 ,很 多 国家 正在 通过 “网 络 战争 "的 形式 缩小 其 与 美军 
常规 力量 的 差距 。 林 恩 认 为 ,美国 的 金融 系统 、 通 信和 其 他 电子 基础 设施 ,都 可 能 成 为 敌 
国 黑客 偷袭 的 对 象 。 他 透露 ,美国 境内 的 计算 机 系统 正在 遭遇 “史无前例 ”的 黑客 活动 袭 
扰 。 其 实 , 美 国人 自己 也 在 不 断 强化 网 络 战 的 能 力 。 其 中 最 重要 的 一 点 ,就 是 美军 正在 尝 
试 通过 黑客 的 秘密 活动 ,让 敌国 相信 ,它们 仍 在 控制 着 自己 的 武装 力量 ,而 实际 上 ,这 些 武 
装 力量 已 经 处 在 美军 的 掌握 之 中 。 美 国 后 来 组 建 的 “网 络 战 司 令 部 ?进一步 说 明 ,网 络 战 
已 经 成 为 五 角 大 楼 旗下 的 重要 兵种 。 

美军 网 络 战 司令 部 归 美 军 战略 司令 部 管辖 ,于 2009 年 10 月 开始 局 部 运作 (正好 是 奥 
巴 马 上 台 那 段 时 间 ) ,到 2010 年 10 月 开始 全 面 运作 。 该 司令 部 对 分 散在 美国 各 军种 中 的 
网 络 战 指挥 机 构 进行 整合 。 此 举 标志 着 世界 上 拥有 最 大 网 络 战 资源 的 军队 开始 把 网 络 战 
争 正式 提 上 议事 日 程 。 

美方 的 网 络 战 目标 是 : 坐 在 五 角 大 楼 ,敲打 键盘 ,遥控 敌 方 电脑 系统 。 希 望 能 具备 
“隐身 " 打 入 世界 各 国电 脑 系统 潜伏 数 年 而 不 被 发 现 的 能 力 , 试 图 让 敌国 相信 ,它们 仍 在 控 
制 着 自己 的 武装 力量 ,而 实际 上 ,这 些 武 装 力量 已 经 处 于 美军 的 掌握 之 中 。 

美国 承认 ,一 旦 自己 遭 到 敌 方 黑客 袭击 ,那么 此 时 再 采取 任何 反击 措施 都 “为 时 已 
晚 ”。 此 刻 ,美国 必须 想 办 法 激活 隐藏 在 敌 方 电脑 系统 中 的 黑客 代码 ,从 而 实现 反击 之 目 
的 。 对 网 络 战 来 说 ， 从 敌人 内 部 瓦解 对 手 ”, 永 远 是 最 有 效 的 办 法 。 

在 网 络 空 间 , 没 有 国家 界限 ,防卫 一 方 必须 时 刻 提高 警惕 ,对 所 有 潜在 的 敌人 保持 “ 清 
醒 头脑 "。 而 进攻 一 方 (黑客 ) ,只 要 抓 住 一 次 机 会 ,就 可 以 给 对 方 以 沉重 的 打击 。 由 于 黑 
客 不 会 直接 从 自己 所 在 地 发 起 攻势 ,而 要 借助 多 个 服务 器 来 进行 “接力 ”, 因 此 追查 黑客 来 
源 的 努力 几乎 都 以 失败 告终 。 




















Ve@/ 信息 安全 工程 


美军 的 黑客 部 队 到 底 什么 样 ? 有 多 少 人 ? 这 一 直 是 美军 的 高 级 别 机 密 。 据 防务 专家 
评估 ,目前 美军 共有 3000 一 5000 名 信息 战 专家 、5 一 7 万 名 士兵 涉足 网 络 战 。 加 上 原 有 的 
电子 战 人 员 ,美军 的 网 络 战 部 队 人 数 应 该 在 8. 87 万 人 左右 ,相当 于 7 个 美军 最 精锐 的 
101 空降 师 的 兵力 。 

美军 网 络 战士 招募 的 基本 途径 主要 有 三 种 : 四 刊登 广告 招募 “网 络 真人 ”。 面 对 眼下 
经 济 衰退 ,众多 一 度 只 去 硅谷 求职 的 青年 才 俊 也 开始 加 盟 * 政 府 网 络 黑客 "这 一 队伍 。 四 
每 年 在 赌 城 拉 斯 维 加 斯 的 全 球 黑客 大 赛 和 不 同 级 别 的 黑客 竞赛 也 是 选拔 人 才 的 好 机 会 。 
黑客 大 赛 每 年 都 在 赌 城 举行 。 谁 能 在 最 短 时 间 内 攻陷 市 面 上 最 强 的 杀毒 软件 , 谁 就 能 赢 
得 高 额 奖金 和 “超级 黑客 "的 称号 ,同时 还 可 能 在 美军 方 谋 得 一 份 薪水 可 观 的 工作 。 此 外 ， 
还 有 针对 操作 系统 的 竞赛 。2008 年 4 月 ,各 类 操作 系统 可 以 说 统统 在 黑客 面前 接受 了 检 
验 。 其 中 ,苹果 MacBookAir 先行 被 攻 下 ;Vista 笔记 本 电脑 虽然 极力 支撑 ,但 最 后 也 还 是 
被 黑客 攻 下 。 当 然 ,参赛 黑客 必须 签署 保密 协定 ,将 发 现 的 漏洞 提供 给 厂商 。@ 其 他 国家 
举办 的 黑客 大 赛 ,美军 方 也 积极 参与 。 例 如 在 韩国 的 全 球 顶级 黑客 大 赛 ,美军 就 在 现场 等 
着 挖 人 。 此 次 黑客 大 赛 为 期 两 天 ,来 自 瑞典 .西班牙 .美国 .意大利 和 韩国 的 36 名 参赛 者 ， 
组 成 了 8 个 “顶级 黑客 ”小 组 。 只 有 那些 被 各 国安 全 部 门 列 入 “重点 监控 对 象 ”名单 的 世界 
顶级 黑客 ,过 五 关 斩 六 将 ,才能 跻身 决赛 选手 之 列 。 举 办 方 负责 人 说 :“ 举 办 这 次 大 赛 的 
目的 ,是 挖掘 出 之 前 未 被 发 现 的 黑客 ,在 确认 其 实力 后 ,培养 成 专家 。” 

网 络 战士 的 训练 复杂 而 奇特 。 他 们 的 模拟 训练 更 像 是 科幻 小 说 或 电脑 游戏 情节 , 主 
要 研究 两 大 类 黑客 攻击 一 一 即 “ 阻 断 服务 "和 * 伪 尸 网 络 ” 攻 击 一 一 而 这 都 是 基于 真实 网 络 
攻击 情况 的 。 网 络 战士 的 三 种 任务 : 试验 各 种 现 有 网 络 武 器 的 效果 ; 四 制定 美国 使 用 
网 络 武器 的 详细 条 例 ; @ 培 训 出 一 支 “过 硬 的 网 上 攻击 队伍 ”。 训 练 方法 与 犯罪 分 子 手法 
相似 ,主要 学 习 如 何在 其 他 用 户 毫 无 察觉 的 情况 下 ,向 外 部 计算 机 加 载 恶 意 软 件 ,或 通过 
电子 邮件 光盘, 甚至 是 在 准备 好 的 网 址 上 通过 简单 的 "网 上 冲浪 ?来 完成 任务 。 

网 络 战 士 如 何 作战 ? 美军 高 层 认 为 :“ 电 脑 网 络 是 自 陆 , 海 . 空 , 太 空 之 后 第 五 作战 领 
域 ,一 定 要 掌握 网 络 战争 的 主导 权 , 而 且 出 手 必 胜 。 这 是 事 关 美国 能 否 继 续 保持 超级 大 国 
地 位 的 头等 大 事 .” 美 军 认为 ,就 像 空 战 一 样 ,网 络 空 间作 为 一 个 新 的 作战 领域 ,当然 是 进 
攻 优 先 。 如 果 仍 然 采 取 守 势 , 则 为 时 太 晚 。 如 果 不 能 统治 网 络 , 也 就 不 能 统治 其 他 作战 
领域 。 

战 时 ,美军 将 组 建 “ 全 球 网 络 作战 联合 特 遗 部 队 ”。 该 部 队 不 仅 具 有 网 络 防御 能 力 ,还 
将 “主动 发 现 并 攻击 "那些 威胁 美军 系统 的 敌人 。 战 略 司令 部 司令 希尔顿 直言 不 讳 地 提 
到 ,设想 有 朝 一 日 ,战略 司令 部 座 下 将 具备 整 组 、 整 营 、 整 旅 的 成 建制 作战 力量 ,以 发 起 网 
络 大 战 。 美 国 的 网 络 作战 主要 有 三 种 模式 : 一 是 物理 打击 。 指 的 是 空投 “聪明 炸弹 "或 者 
痰 丝 武 器 切断 敌 方 电脑 网 络 的 电源 或 使 其 部 分 瘫痪 ,其 结果 是 造成 对 方 网 络 暂时 或 永久 
性 关闭 。 二 是 虚拟 打击 ,也 就 是 通常 所 说 的 “黑客 攻击 ”。 通 过 向 敌 方 网 络 发 动 病毒 攻击 ， 
干扰 和 破坏 政 方 网 络 操作 系统 ,使 其 出 现 故障 或 死机 。 三 是 认识 打击 ,也 就 是 俗话 说 的 
“ 砍 骗 战术 ”, 通 过 网 络 制造 出 一 些 虚拟 信号 和 影像 欺骗 ,误导 对 方 的 网 络 操作 ,使 其 指挥 
失灵 。 美 国 发 动 网 络 打击 的 目标 不 是 通常 的 国际 互联 网 ,而 将 是 敌 方 的 内 部 安全 网 络 。 

在 建立 信息 安全 管理 体系 过 程 中 ,为 对 组 织 所 面临 的 信息 安全 风险 实施 有 效 的 控制 ， 
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要 针对 具体 的 威胁 和 脆弱 性 采取 适宜 的 控制 措施 ,包括 管理 手段 和 技术 方法 等 ,结合 组 织 
信息 资产 可 能 存在 的 威胁 .脆弱 性 分 析 , 从 控制 目标 、 控 制 措施 和 实施 指南 等 方面 着 手 ,这 
些 控制 措施 包括 安全 方针 、 安 全 组 织 .资产 管理 、 人 员 安 全 ,物理 和 环境 安全 、 通 信 与 操作 
安全 ,访问 控制 系统 开发 与 维护 ,安全 事件 管理 ,业务 持续 性 管理 ,符合 性 保证 11 个 方面 
的 控制 规范 。 

在 组 织 内 建立 和 实施 基于 最 新 国际 标准 ISO/IEC27001:2005 的 信息 安全 管理 体系 
是 目前 国际 上 最 先进 的 信息 安全 整体 解决 方案 。 信 息 安全 管理 体系 是 基于 业务 风险 方 
法 ,建立 ,实施 ,运行 .监视 .评审 ,保持 和 改进 信息 安全 的 体系 。 从 这 个 概念 里 我 们 可 以 看 
出 ,ISMS 是 以 风险 评估 为 基础 的 ,那么 为 什么 要 选择 基于 风险 的 信息 安全 管理 体系 ? 
为 信息 安全 建设 的 宗旨 之 一 ,就 是 要 在 综合 考虑 成 本 与 效益 的 前 提 下 ,通过 恰当 ,足够 , 综 
合 的 控制 措施 来 控制 风险 ,使 残余 风险 降低 到 可 接受 的 程度 。 所 谓 控制 措施 ,其 实 就 是 管 
理 风险 的 一 些 方法 ,包括 出 台 行政 政策 .制定 管理 规定 、 制 定 法 律 法 规 , 应 用 技术 手段 等 ， 
目的 是 为 了 达到 组 织 的 信息 安全 控制 目标 。 


9.4.3 信息 安全 管理 控制 规范 中 的 物理 和 环境 安全 


信息 安全 管理 控制 规范 中 的 是 物理 和 环境 安全 ,环境 安全 好 理解 , 那 物 理 安全 中 的 物 
理 指 的 是 什么 呢 ?“ 物 理 ” ,包括 身 体 的 ,例如 和 人身 安全 ,这 也 是 物理 安全 首要 考虑 的 问题 ， 
因为 人 也 是 信息 系统 的 一 部 分 ;还 有 物质 的 ,也 就 是 承载 信息 的 物质 ,包括 信息 存储 、 处 
理 , 传 输 和 显示 所 用 的 设施 和 设备 ;此 外 还 有 自然 的 , 即 对 自然 环境 的 保障 ,如 对 温度 、 湿 
度 的 要 求 , 对 电力 供应 的 要 求 .对 灾害 的 预防 等 。 

物理 和 环境 安全 的 目标 主要 是 要 建立 安全 区 域 和 保证 设备 安全 。 建 立 安全 区 域 主要 
是 要 防止 非 授权 访问 、 防 止 可 能 会 破坏 和 干扰 业务 运行 的 情况 出 现 。 保 证 设备 安全 主要 
是 预防 资产 的 丢失 、 损 坏 或 被 盗 , 以 及 对 组 织 业务 活 动 的 干扰 。 

具体 来 说 , 它 所 包含 的 内 容 包括 : 应 该 建立 带 有 物理 入 口 控制 的 安全 区 域 ,例如 加 设 
铁 门 铁窗 ;应 该 配备 物理 保护 的 硬件 设备 ;应 该 防止 网 络 电缆 被 搭 线 窃听 ,也 就 是 防 辐射 ; 
将 设备 搬 离 场所 ,或 者 准备 报废 时 ,应 考虑 其 安全 并 按 规定 的 流程 和 程序 操作 。 

物理 和 环境 安全 就 是 要 建立 安全 区 域 , 保 证 设备 安全 。 先 来 看 第 一 个 目标 ,建立 安全 
区 域 。 设 置 安全 区 域 就 是 要 防止 对 组 织 场所 和 信息 资源 的 非 授 权 访问 、 损 坏 和 干扰 ,防止 
任何 可 能 破坏 和 干扰 业务 运行 的 情况 发 生 。 安 全 区 域 保护 的 目标 是 组 织 场所 (远离 领地 、 
建筑 物 及 周围 的 土地 ) 和 信息 ,针对 的 方面 是 物理 访问 ,损坏 和 干扰 。 组 织 场所 和 信息 实 
际 上 属于 两 个 不 同 层次 的 问题 ,信息 毫 无 疑问 是 待 保护 的 核心 ,其 外 层 是 信息 处 理 设施 ， 
再 外 层 就 是 场所 (如 果 一 定 按照 定义 ,严格 来 讲 场所 本 身 就 是 信息 处 理 设施 )。 因 此 ,保证 
场所 (领地 ) 的 安全 是 首要 的 ,也 是 防止 信息 未 授权 访问 、 损 坏 和 干扰 的 前 提 。 那 么 如 何 来 
建立 安全 区 域 呢 ? 在 物理 和 环境 安全 这 方面 ,建立 安全 区 域 一 共有 六 个 控制 措施 。 首 先 
看 第 一 个 控制 措施 ,建立 物理 安全 周边 。 建 立 物 理 安全 边界 的 控制 措施 ,就 是 要 采用 安全 
周边 (如 墙 \ 卡 控制 的 入 口 或 有 人 管理 的 接待 台 等 屏障 ) 来 保护 包含 信息 和 信息 处 理 设施 
的 区 域 ,形成 安全 区 域 。 什 么 叫 周边 呢 ? 周边 和 边界 是 不 是 一 个 概念 , 那 为 什么 不 叫 物理 
安全 边界 ? 周边 (perimeter) 与 边界 还 是 有 区 别 的 ,周边 强调 的 是 一 个 封闭 的 区 域 ,在 这 
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样 的 前 提 下 ,物理 入 口 (physical entry) 才 是 有 意义 的 。 安 全 周边 强调 的 是 整个 封闭 区 域 
的 边界 ,不 仅仅 是 墙 ,还 要 包括 卡 控制 的 入 口 或 有 人 管理 的 接待 台 。 后 两 者 显然 看 起 来 更 
像 是 物理 入 口 控制 中 讨论 的 内 容 。 实 际 上 物理 入 口 控 制 强调 的 是 “确保 只 有 授权 的 人 员 
才 允 许 访 问 ”, 其 基础 是 已 经 建立 了 物理 屏障 (physical barrier)。 因 此 ,物理 安全 周边 所 
强调 的 是 要 清晰 地 定义 安全 周边 ( 划 定 领地 ) ,要 保证 周边 在 物理 上 是 安全 的 (例如 要 有 坚 
固 的 外 墙 等 ) ,要 保证 物理 访问 手段 的 控制 到 位 (如 有 物理 控制 的 入 口 ), 要 尽量 安装 安防 
系统 等 内 容 。 而 物理 入 口 控制 强调 的 则 是 对 访问 者 的 允许 进入 规则 ,记录 访问 者 的 出 入 
和 时 间 ,如 何 分 辨 访问 者 和 单位 员工 (例如 员工 应 着 工作 服 佩戴 工作 证 上 班 ,来访 者 则 佩 
戴 专门 的 访问 证 ) 等 内 容 。 

第 一 个 控制 措施 ,对 于 物理 安全 周边 , 若 合适 , 下 列 指南 宜 了 予以 考虑 和 实施 : 四 安全 
周边 应 清晰 地 予以 定义 ,各 个 周边 的 设置 地 点 和 强度 取决 于 周边 内 资产 的 安全 要 求 和 风 
险 评估 的 结果 。@ 信 息 处 理 设施 的 建筑 物 或 场地 的 周边 要 在 物理 上 是 安全 的 ( 即 在 周边 
或 区 域内 不 要 存在 可 能 易于 疤 和 的 任何 缺口 ); 场 所 的 外 墙 是 坚固 结构 ,所 有 外 部 的 门 要 
使 用 控制 机 制 来 适当 保护 ,以 防止 未 授权 进入 ,例如 , 门 门 、 报 警 器 、 锁 等 ;无 人 看 管 的 门 和 
窗户 要 上 锁 , 还 要 考虑 窗户 的 外 部 保护 ,尤其 是 地 面 一 层 的 窗户 。@ 对 场所 或 建筑 物 的 物 
理 访 问 手 段 要 到 位 (如 有 人 管理 的 接待 区 域 或 其 他 控制 ); 进 入 场所 或 建筑 物 要 仅 限于 已 
授权 人 员 。@ 如 果 可 行 ,要 建立 物理 屏障 以 防止 未 授权 进入 和 环境 污染 。@ 安 全 周边 的 
所 有 防火 门 要 可 发 出 报警 信号 ,被 监视 并 经 过 测试 ,与 墙 一 起 按照 合适 的 国家 标准 建立 所 
需 的 防卫 级 别 ;它们 要 使 用 故障 保护 方式 按照 当地 防火 规则 来 运行 。@ 要 按照 我 国标 准 
安装 适当 的 安防 监测 系统 ,并 定期 测试 以 覆盖 所 有 的 外 部 门窗 ;要 一 直 警 惕 空闲 区 域 ; 其 
他 区 域 要 提供 掩护 方法 ,例如 计算 机 室 或 通信 室 。 其 他 信息 : 物理 保护 可 以 通过 在 组 织 
边界 和 信息 处 理 设施 周围 设置 一 个 或 多 个 物理 屏障 来 实现 。 多 重 屏障 的 使 用 将 提供 附加 
保护 ,因为 一 个 屏障 的 失效 不 意味 着 立即 就 会 危及 安全 。 一 个 安全 区 域 可 以 是 一 个 可 上 
锁 的 办 公 室 ,或 是 被 连续 的 内 部 物理 安全 屏障 包围 的 几 个 房间 。 而 在 安全 边界 内 具有 不 
同安 全 要 求 的 区 域 之 间 ,还 需要 控制 物理 访问 的 附加 屏障 和 周边 。 

下 面 来 看 第 二 个 控制 措施 .物理 入 口 控制 。 建 立 完 物理 安全 周边 就 要 考虑 对 访问 者 
的 准 入 规则 ,这 就 是 物理 入 口 控制 要 强调 的 ,所 以 它 的 控制 措施 就 是 安全 区 域 应 由 合适 的 
入 口 控制 所 保护 ,以 确保 只 有 授权 的 人 员 才 允许 访问 。 宜 考虑 如 下 的 实施 指南 : 要 想 
保证 对 处 理 或 储存 敏感 信息 的 区 域 的 访问 受到 控制 ,首先 就 要 能 够 弄 清 来 访 者 的 身份 , 然 
后 将 访问 者 仅 限于 已 授权 的 人 员 ( 并 且 访问 仅 限于 已 授权 人 员 ) ,并 且 所 有 访问 者 的 审核 
踪迹 要 加 以 维护 。 加 记录 访问 者 进入 和 离开 的 日 期 和 时 间 , 要 对 所 有 来 访 者 进行 监督 , 除 
非 他 们 的 访问 事前 已 经 经 过 批准 ;只 允许 他 们 访问 特定 的 ` 已 授权 的 目标 ,并 要 向 他 们 宣 
布 关于 该 区 域 的 安全 要 求 。@@ 所 有 雇员 ` 承 包 方 人 员 和 第 三 方 人 员 以 及 所 有 来 访 者 要 佩 
带 某 种 形式 的 可 视 标 识 ,如果 遇 到 无 人 护送 的 访问 者 和 未 佩带 可 视 标 识 的 任何 人 ,要 立即 
通知 保安 人 员 ( 所 有 可 以 进出 该 区 域 的 人 员 ,包括 所 有 雇员 (组 织 内 人 员 .干部 ) 、 承 包 方 人 
员 和 第 三 方 人 员 要 持 有 识别 证 。 此 外 ,对 安全 区 域 的 访问 权 要 定期 评审 和 更 新 ,并 在 必要 
时 废除 )。 例 如 参加 会 议 ,一 般 都 会 给 参 会 人 员 发 放 一 个 胸卡 ,每 天 开会 都 带 着 胸 牌 进出 
会 场 ,而 这 个 胸 牌 又 会 分 为 工作 人 员 和 参 会 人 员 几 种 。@ 第 三 方 支持 服务 人 员 只 有 在 需 
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要 时 才能 有 限制 地 访问 安全 区 域 或 敏感 信息 处 理 设 施 ;这 种 访问 要 被 授权 并 受 监视 。@ 
对 安全 区 域 的 访问 权 要 定期 地 予以 评审 和 更 新 ,并 在 必要 时 废除 。 

而 通常 采用 的 访问 控制 措施 ,可 以 采用 一 些 像 校园 卡 一 类 的 磁卡 进行 访问 控制 ,或 者 
是 基于 指纹 ` 视 网 膜 扫描 \ 签 名 \ 声 音 识 别 . 手 形 等 生物 特征 系统 来 识别 访问 者 的 身份 和 
权限 。 

下 面 来 看 第 三 个 控制 措施 ,在 办 公 室 ,房间 和 设施 设计 并 采取 合适 的 物理 安全 措施 。 
办 公 室 和 房间 是 一 类 安全 ,设施 安全 是 另外 一 个 层次 的 问题 。 便 利 性 和 安全 性 有 相互 巴 
盾 的 一 面 ,在 讨论 的 时 候 要 辩证 地 看 待 ,在 实施 时 还 有 很 多 问题 要 注意 。 例 如 关键 设备 应 
放 在 公众 无 法 进入 的 地 方 ; 再 例如 ,在 建筑 物 内 的 标识 ,从 安全 的 途径 考虑 ,应 该 给 出 用 途 
最 少 的 指示 , 即 只 能 在 区 域 (建筑 物 ) 内 侧 或 外 侧 用 不 明显 的 标记 给 出 其 用 途 的 最 少 指示 ， 
并 且 标 识 敏 感 信息 处 理 设 施 位 置 的 目录 和 内 部 电话 德 不 要 轻易 为 公众 得 到 ,防止 恶意 破 
坏 的 存在 。 在 这 个 原则 下 ,机 场 的 机 房 不 应 该 有 类 似 “ 机 房 重地 , 非 请 莫 入 ”的 标识 及 “机 
房 重地 ,请 勿 进入 "的 字样 ,这 种 标识 虽然 可 以 避免 误 入 ,但 是 同时 也 告诉 了 恶意 人 员 足 够 
的 信息 。 因 此 ,最 好 还 是 用 其 他 的 方法 ,例如 “不 能 从 公众 区 域 直 接 进入 ”。 将 机 房 的 标识 
做 得 像 飞机 的 登 机 口 一 样 清晰 是 不 利于 安全 的 ,并 且 也 是 完全 没有 必要 的 ,因为 进入 机 房 
的 基本 都 是 专业 内 部 人 员 ,根本 不 需要 标识 。 在 安全 区 域内 ,各 种 打印 机 、 复 印 机 设备 应 
齐全 。 

第 四 个 控制 措施 : 外 部 和 环境 威胁 的 安全 防护 。 为 防止 火灾 、 洪 水、 地震 ,爆炸 等 自 
然 或 人 为 灾难 引起 的 破坏 , 宜 设 计 和 采取 物理 保护 措施 。 实 施 指 南 : 和 危险 或 易 燃 材料 
要 在 离 安全 区 域 安全 距离 以 外 的 地 方 存 放 , 大 批 供应 品 ( 例 如 文具 ) 不 要 存放 于 安全 区 域 
内 ; @ 要 提供 适当 的 灭火 设备 ,并 放 在 合适 的 地 点 ; 回 基 本 维持 运行 的 设备 和 备份 介质 
的 存放 地 点 要 与 主要 场所 有 一 段 安 全 距离 ,以 避免 影响 主要 场所 的 灾难 产生 的 破坏 。 这 
个 环境 问题 比较 宏观 ,可 能 关系 到 选 址 ,尤其 是 机 房 。 对 于 自然 或 人 为 灾难 ,尤其 是 来 自 
外 部 和 环境 威胁 的 ,可 以 参考 机 房 相关 的 建设 标准 ,对 其 进行 裁剪 使 用 就 可 以 了 。 

第 五 个 控制 措施 : 在 安全 区 域 工 作 。 应 设计 并 应 用 于 安全 区 域 工作 的 物理 保护 措 
施 。 实 施 指南 : 这 些 重 要 的 安全 区 域 要 尽 可 能 不 引 人 注 意 ,只 在 必要 时 允许 员工 知道 
安全 区 域 的 存在 或 其 中 的 活动 ;@@ 还 要 避免 在 安全 区 域内 进行 不 受 监督 的 活动 ,以 减少 恶 
意 活动 的 机 会 ;@ 未 使 用 的 安全 区 域 在 物理 上 要 上 锁 ,并 定期 核查 ;@ 除 非 授权 ,否则 不 允 
许 携带 摄影 .摄像 音频、 视频 等 记录 设备 。 从 实施 指南 看 ,安全 区 域 最 好 要 分 出 等 级 来 ， 
否则 可 能 导致 不 易 实 施 或 者 没有 必要 。 关 键 或 敏感 的 信息 处 理 设 施 宜 放 在 安全 区 域内 ， 
这 个 区 域 可 以 理解 为 关键 区 域 .在 期 间 的 工作 都 要 受到 监督 ,例如 重要 机 房 或 保密 室 等 。 
毫 无 疑问 ,这 比 普通 的 办 公 区 及 房间 安全 要 求 更 高 。 

第 六 个 控制 措施 : 访问 点 (交接 区 ) 和 未 授权 人 员 可 进入 办 公 场 所 的 其 他 点 应 加 以 控 
制 ,如 果 可 能 ,应 与 信息 处 理 设施 隔离 ,以 避免 未 授权 访问 。 实 施 指南 : 由 建筑 物 外 进 
人 交接 区 的 访问 要 局 限于 已 标识 的 和 已 授权 的 人 员 ; 加 交接 区 要 设计 成 在 无 须 交 货 人 员 
获得 对 本 建筑 物 其 他 部 分 访问 权 的 情况 下 ,就 能 印 下 物资 ; 加 当 内 部 门 打开 时 ,交接 区 的 
外 部 门 处 于 安全 保护 中 ; @ 物 资 从 交接 区 运 到 使 用 地 点 之 前 ,要 检查 是 否 存 在 潜在 威胁 ; 
回 物资 要 按照 资产 管理 规程 在 场所 的 人 口 处 进行 登记 。 交 接 区 是 专门 设计 的 无 须 交 货 
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员 获 得 对 本 建筑 物 其 他 部 分 的 访问 权 的 情况 下 就 能 印 下 物资 的 区 域 。 对 一 个 组 织 而 言 ， 
即使 没有 经 常 的 物资 来 往 ,快递 .邮件 等 一 定 是 存在 的 。 这 种 经 常 性 的 交接 ,不 需要 进入 
办 公 区 域 其 实 就 可 以 完成 ,应 该 尽量 设计 成 与 信息 处 理 设施 隔离 开 来 。 

所 以 建立 安全 区 域 还 要 考虑 到 物理 监控 措施 ,例如 安全 周边 的 入侵 检测 系统 ,例如 报 
警 器 ,报警 系统 可 以 探测 到 未 经 授权 而 进入 的 人 并 发 出 警报 。 此 外 ,最 常用 的 人 侵 监测 还 
有 类 似 窗户 贴 ` 绷 紧 线 等 ,是 防止 从 窗户 、 院 墙 翻 入 的, 能够 探测 到 电路 的 变化 或 断路 ,如 
果 感 觉 到 有 人 人 和 侵 , 可 能 直接 报警 。 


9.4.4 信息 安全 管理 控制 规范 中 的 通信 和 操作 安全 管理 


通信 和 操作 管理 目标 有 很 多 ,主要 有 操作 程序 和 责任 、 介 质 处 理 和 安全 ,信息 和 软件 
交换 ,防范 恶意 代码 和 移动 代码 等 。 

操作 程序 和 职责 : 要 按照 一 定 的 规程 进行 通信 等 相关 操作 ,并 明确 相关 职责 ,以 确保 
正确 、 安 全 地 操作 信息 处 理 设施 。 

介质 处 理 和 安全 : 防止 对 资产 的 未 授权 泄漏 修改、 移动 或 损坏 ,及 对 业务 活动 的 
干扰 。 

信息 和 软件 的 交换 : 应 保持 组 织 内 部 或 组 织 与 外 部 组 织 之 间 交 换 信息 和 软件 的 

















安全 。 
防范 恶意 和 移动 代码 : 保护 软件 和 信息 的 完整 性 。 
通信 和 操作 安全 的 控制 目标 : 操作 程序 和 职责 。 要 按照 一 定 的 规程 进行 通信 等 相关 

操作 ,并 明确 相关 职责 ,以 确保 正确 、 安 全 地 操作 信息 处 理 设 施 。 

操作 程序 应 形成 文件 ,保持 并 对 有 需要 的 用 户 可 用 。 与 信息 处 理 和 通信 设施 相关 的 
系统 活动 应 形成 文件 的 规程 ,如 计算 机 启动 和 关机 规程 .备份 .介质 处 理 ` 机 房 ,邮件 处 理 
等 ;制定 各 种 安全 事故 的 应 变 措施 ,包括 通信 故障 ,拒绝 服务 等 。 操 作 规程 应 详细 规定 执 
行 每 项 的 说 明 ,应 将 操作 规程 和 系统 活动 的 文件 看 作 正式 的 文件 ,其 变更 由 管理 者 授权 。 
技术 上 要 行 时 ,信息 系统 应 使 用 相同 的 规程 .工具 和 实用 程序 进行 对 此 管理 。 

实施 责任 分 割 , 各 类 责任 及 职责 范围 应 加 以 分 割 ,以 降低 未 授权 或 无 意识 地 修改 或 者 
误 使 用 组 织 资产 的 机 会 。 责 任 分 割 是 一 种 减少 意外 或 故意 系统 误 用 的 风险 方法 。 应 当 注 
意 ,在 无 授权 或 未 被 检测 时 ,应 使 用 个 人 不 能 访问 、 修 改 或 使 用 的 资产 。 在 设计 控制 措施 
时 就 应 考虑 到 勾结 的 可 能 性 。 小 型 组 织 可 能 感到 难以 实现 这 种 责任 分 割 ,但 只 要 具有 可 
能 性 和 可 行 性 ,应 尽量 使 用 该 原则 。 如 果 难 以 分 割 ,应 考虑 其 他 控制 措施 ,例如 对 活动 . 审 
核 踪 迹 和 管理 监督 的 监视 等 。 责 任 分 割 是 信息 系统 很 重要 的 设计 ,例如 恶意 代码 的 防范 ， 
一 般 都 是 软件 十 规程 来 实现 , 既 关系 到 专业 人 员 的 维护 ,也 包括 普通 终端 用 户 的 使 用 。 
此 从 责任 方 来 说 ,就 至 少 包括 三 方 : 技术 负责 人 (来 自信 息 部 门 , 信 息 技 术 部 门 负责 运 维 
(技术 支持 )) ,业务 负责 人 (来 自 业务 部 门 , 业 务 部 门 使 用 (尤其 是 信息 )) ,审计 负责 人 (来 
自 内 审 部 门 ,可 不 专门 针对 某 系 统 ) ,要 注意 责任 分 割 和 职能 范围 的 划分 ,以 降低 未 授权 或 
无 意识 的 修改 或 不 当 使 用 。 

通信 和 操作 安全 的 控制 目标 一 一 介质 处 置 是 对 信息 存储 的 介质 进行 管理 和 控制 , 防 
止 信息 资源 遭受 未 授权 泄露 修改 、 移 动 或 销毁 ,以 及 业务 活动 的 中 断 。 其 控制 措施 包括 : 
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加 可 移动 介质 的 管理 ; 加 介质 的 处 置 ; 信息 处 理 规程 ; @ 系 统 文件 安全 。 

介质 处 置 的 控制 措施 : 介质 的 管理 和 处 置 就 是 要 有 适当 的 可 移动 介质 的 管理 规程 ， 
当 介质 不 再 需要 时 ,应 使 用 正式 的 规程 可 靠 并 安全 的 处 置 。 实 施 指南 : 制定 适当 的 步 
又 保护 介质 的 安全 ,包括 烧毁 或 粉碎 的 步骤 ; 加 包含 有 敏感 信息 的 介质 应 秘密 和 安全 地 
存储 和 处 置 ; @ 从 组 织 取 走 的 介质 要 有 授权 ,记录 并 保持 审核 跟踪 。 

通信 信息 的 交换 是 对 信息 交换 的 过 程 进 行 控制 ,保持 组 
织 内 以 及 与 组 织 外 的 信息 交换 的 安全 。 对 于 信息 交换 ,不 但 是 与 外 部 实体 信息 交换 ,还 包 
括 了 组 织 内 部 的 信息 交换 。 

(1) 信息 交换 策略 和 规程 。 信 息 交换 策略 和 规程 的 控制 措施 是 应 有 正式 的 交换 策 
略 、 规 程 和 控制 措施 ,以 保护 通过 使 用 各 种 通信 设施 的 信息 交换 。 对 信息 交换 的 控制 包括 
策略 ,规程 和 控制 措施 ,涉及 的 对 象 包括 各 类 通信 设施 ,可 见 其 重要 性 。 信 息 交 换 可 以 通 
过 不 同 的 类 型 实现 ,例如 电子 邮件 、 声 音 、 传 真 和 视频 等 ,以 不 同类 型 的 介质 进行 软件 交 
换 ,包括 互联 网 下 载 或 者 从 供应 商 处 购买 。 由 于 多 种 类 型 和 介质 的 存在 ,这 意味 着 对 每 一 
种 形式 都 要 考虑 可 能 的 交换 策略 ,规程 和 控制 措施 。 例 如 ,通过 声音 进行 的 信息 交换 ( 通 
俗 地 讲 就 是 交谈 ,固定 电话 和 手机 等 方式 ), 宜 通过 合适 的 方式 提醒 工作 人 员 ,不 要 在 公共 
场所 或 开放 办 公 室 和 不 隔音 的 会 场 进行 保密 会 谈 。 再 如 在 电梯 中 、 工 作 场所 或 厕所 中 ,经 
常会 看 见 有 人 持 移动 电话 与 人 通话 ,由 于 注意 力 集中 于 通话 本 身 而 忽视 了 周围 的 人 ,为 了 
不 泄露 敏感 信息 ,避免 打 电 话 时 被 人 有 意 或 者 无 意 窃 听 , 因 此 宜 提 醒 工 作 人 员 : 使 用 移动 
电话 时 ,注意 周围 的 人 ;防止 搭 线 窃听 ,以 及 通过 物理 方式 访问 手持 电话 或 电话 线路 ,或 者 
使 用 扫描 接收 器 的 其 他 窃听 方式 ;提醒 接收 端的 人 接听 电话 的 安全 。 使 用 电子 通信 设施 
(例如 计算 机 、 网 络 、 固 定 电 话 、 手 机 等 ) 进 行 信息 交换 的 规程 和 控制 实施 指南 包括 : 无 
线 通信 使 用 的 规程 ,要 考虑 所 涉及 的 特定 风险 ; 加 使 用 密码 技术 保护 信息 的 保密 性 、 完 整 
性 和 可 用 性 ; 提醒 工作 人 员 相 关 的 预防 措施 ,例如 应 答 机 上 可 能 有 敏感 信息 ,传真 机 和 
复印 机 上 可 能 有 页 面 缓存 等 。 举 个 案例 有关 部 门 技术 检测 发 现 ,从 国外 进口 的 传真 机 、 
复印 机 、 碎 纸 机 等 设备 ,有 的 被 安装 了 窃 密 装置 , 当 使 用 这 些 设 备 时 , 窃 密 装置 会 自动 将 处 
理 的 信息 转换 成 电子 信号 发 射出 去 。 新 型 数码 一 体 机 配置 的 大 容量 硬盘 高 达 几 十 GB， 
具备 长 期 保存 大 量 数据 的 功能 .连接 因特网 时 ,处 理 的 信息 会 自动 传输 到 境外 数字 信息 中 
心 。 我 国 某 驻 外 使 馆 新 馆 启 用 之 前 ,在 例 行 保密 技术 检查 时 发 现 , 该 馆 的 碎 纸 机 入口 处 被 
植 人 了 有 扫描 功能 的 芯片 ,如 果 使 用 该 碎 纸 机 销毁 文件 ,销毁 的 文件 内 容 都 会 被 同步 扫描 
并 向 外 发 送 。 美 国 “ 太 空 及 海上 系统 作战 中 心 ” 网 络 曾 受 到 俄罗斯 黑客 的 攻击 。 事 发 当 
天 ,该 中 心 网 络 工程 师 布 罗 尔 斯 马 发 现 一 项 网 络 打印 任务 的 操作 时 间 超 长 ,随即 进行 检测 
排查 ,发 现 造成 操作 时 间 超 长 的 原因 是 打印 任务 列表 中 的 一 个 文件 在 传送 到 网 络 打印 机 
之 前 ,被 截留 并 送 到 俄罗斯 的 一 人 台 服 务 器 上 忽 了 一 圈 。 经 过 分 析 , 被 认定 为 一 起 黑客 攻击 
有 件 ,黑客 突破 网 络 防 线 之 后 侵入 网 络 打 印 机 ,修改 了 路 由 表 , 把 打印 文件 送 往 俄罗斯 的 
服务 器 。@ 提 醒 工 作 人 员 相 关 的 预防 措施 ,不 要 在 公共 场所 或 开放 办 公 室 和 不 隔音 墙 的 
会 场 进行 保密 会 谈 , 防 止 打 电 话 时 被 无 意 或 有 意 窃 听 。 

(2) 交换 协议 。 建 立 组 织 与 外 部 交换 信息 的 协议 , 即 信息 交换 前 应 该 签署 协定 。 注 
明 传送 与 接收 信息 的 管理 责任 ;规定 传送 与 接收 信息 的 程序 ;明确 资料 的 遗失 责任 归属 。 
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协议 可 以 是 电子 的 或 手写 的 ,可 能 采取 正式 合同 或 任用 条 款 的 形式 。 对 敏感 信息 而 言 , 信 
息 交 换 使 用 的 特定 机 制 对 于 所 有 组 织 和 各 种 协议 宜 是 一 致 的 。 在 协议 中 宜 考虑 控制 和 通 
知 传输 、 分 派 和 接收 的 管理 职责 ,确保 可 追溯 性 和 不 可 抵赖 性 的 规程 等 。 

(3) 运输 中 的 物理 介质 。 中 控制 措施 : 包含 信息 的 介质 在 组 织 的 物理 边界 外 运送 
时 ,应 防止 未 授权 访问 ,不 当 使 用 或 损坏 。 包 实施 指南 : 要 使 用 可 靠 的 运输 或 送信 人 ; 授 
权 的 送信 人 要 经 管理 者 批准 ;必要 时 采取 专门 的 控制 (例如 上 锁 、 手 工交 付 、 防 算 改 包装 
等 ) 以 保护 敏感 信息 。 包 含 信息 的 介质 在 组 织 外 通过 邮政 服务 或 送信 人 传递 期 间 容易 受 
到 未 授权 访问 、 不 当 使 用 或 破坏 。 例 如 ,在 信件 的 传输 中 ,一 般 会 封口 ,就 是 为 了 保证 其 中 
信息 的 保密 性 和 完整 性 。 在 实际 操作 中 ,本 条 款 的 主要 任务 是 选择 可 靠 的 传输 或 送信 人 ， 
此 外 就 是 对 封装 信息 的 控制 ,例如 信件 的 骑 缝 章 、 容 器 上 锁 等 。 


本 章 小 结 


在 建立 信息 安全 管理 体系 过 程 中 ,为 对 组 织 所 面临 的 信息 安全 风险 实施 有 效 的 控制 ， 
要 针对 具体 的 威胁 和 脆弱 性 采取 适宜 的 控制 措施 ,包括 管理 手段 和 技术 方法 等 ,结合 组 织 
信息 资产 可 能 存在 的 威胁 和 脆弱 性 ,从 控制 目标 ,控制 措施 和 实施 指南 等 方面 ,详细 介绍 
了 安全 方针 、 安 全 组 织 资产 管理 、 人 员 安 全 ,物理 和 环境 安全 ,通信 与 操作 安全 ,访问 控 
制 , 系 统 开发 与 维护 .安全 事件 管理 ,业务 持续 性 管理 .符合 性 保证 等 方面 的 控制 规范 。 

ISMS 实施 流程 包括 : 建立 ISMS ISMS 的 实施 和 运行 .IJSMS 的 监视 和 评审 .ISMS 
的 保持 和 改进 。 


习 题 


1. 什么 是 信息 安全 管理 ? 信息 安全 管理 的 意义 在 哪里 ? 

2. 简 述 信息 安全 管理 模型 。 

3. 什么 是 信息 安全 保障 ? 

4. 信息 安全 管理 体系 ISMS 标准 内 容 有 哪些 ? 

5. 如 何 把 物理 和 环境 安全 管理 .通信 和 操作 安全 管理 这 两 个 方面 的 控制 目标 和 控制 
措施 运用 到 我 们 本 职工 作 的 管理 中 ? 
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学 习 目 标 

。 了 解 涉 密 网 络 安全 规划 建设 思路 ; 
。 了 解 信息 系统 网 络 安全 工程 实现 
。 了 解 政府 网 络 安全 解决 方案 ; 

。 能 够 进行 信息 系统 安全 设计 。 


10.1 涉 密 网 安全 建设 规划 设计 


涉 密 系统 网 络 建设 与 通用 型 网 络 的 建设 有 共性 ,也 有 其 特殊 性 。 在 确定 涉 密 系统 安 
全 需求 时 ,要 从 网 络 、 应 用 、 系 统 , 管 理 等 方面 ,对 其 安全 脆弱 性 和 安全 威胁 方面 进行 详细 
的 风险 分 析 。 在 规划 设计 时 ,要 以 主动 性 防御 为 思路 , 既 要 防 外 也 要 防 内 ,实时 阻止 网 络 
中 的 异常 行为 ,防止 信息 泄露 ,把 安全 风险 降 至 最 低 。 


10.1.1 安全 风险 分 析 


1. 安全 脆弱 性 分 析 

1) 人 的 脆弱 性 

当前 ,人 们 对 涉 密 网 络 的 保密 性 与 安全 性 的 意识 以 及 技术 要 求 和 管理 制度 的 认 知 程 
度 还 不 够 ,缺乏 有 效 的 安全 管理 手段 和 制度 保障 ,安全 技术 知识 荐 乏 ,安全 培训 薄弱 ,这 将 
直接 导致 安全 管理 的 脆弱 。 

2) 安全 技术 的 脆弱 性 

通常 人 们 工作 中 使 用 的 计算 机 主要 是 Windows 操作 系统 ,该 系统 存在 大 量 漏洞 , 它 
面临 着 病毒 和 来 自 外 部 或 内 部 人 员 的 攻击 威胁 ,利用 这 些 漏 洞 的 攻击 工具 在 互联 网 上 很 
容易 获取 。 安 全 技术 的 脆弱 性 还 表现 在 系统 配置 的 安全 性 不 完善 和 访问 控制 机 制 的 安全 
脆弱 性 上 。 

3) 运行 的 脆弱 性 

缺乏 有 效 的 网 络 运行 监控 管理 系统 无 法 对 各 种 系统 和 设备 进行 监控 ,可 能 导致 对 病 
毒 等 安全 事件 的 响应 时 间 缓 慢 故 障 定位 不 准 等 问题 。 网 络 运行 管理 措施 不 健全 ,对 来 自 
外 部 或 内 部 的 网 络 入 侵 和 违规 操作 等 行为 没有 严格 的 检测 安全 风险 分 析 监 控 、 响 应 和 恢 
复 措施 ,将 会 对 系统 稳定 、 可 靠 的 运行 构成 威胁 ,导致 整个 安全 技术 系统 的 脆弱 。 
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2. 安全 威胁 分 析 

1) 物理 层 安 全 风险 分 析 

网 络 的 物理 安全 风险 主要 指 网 络 周边 环境 和 物理 特性 引起 的 网 络 设备 和 线路 的 不 可 
用 ,进而 造成 网 络 系统 的 不 可 用 ,如 设备 被 盗 ,被 毁坏 、 链 路 老化 或 被 有 意 或 无 意 地 破坏 ; 
因 电磁 辐射 造成 信息 泄露 ;设备 意外 故障 、 停 电 ; 发 生地 震 、 火 灾 、 水 灾 等 自然 灾害 等 。 

2) 网 络 层 安全 风险 分 析 

在 网 络 的 数据 传输 过 程 中 ,存在 以 下 风险 : 

。 重要 业务 数据 泄露 。 由 于 在 同 级 局 域 网 和 上 下 级 网 络 数据 传输 线路 之 间 存 在 被 
窃听 的 威胁 ,同时 局 域 网 络 内 部 也 存在 着 内 部 攻击 行为 ,其 中 包括 登录 密码 和 一 
些 敏感 信息 可 能 被 侵袭 者 窃取 和 算 改 ,造成 泄密 。 
重要 业务 数据 被 破坏 。 由 于 目前 还 缺乏 对 数据 库 及 个 人 终端 的 安全 保护 措施 ,还 
不 能 完全 抵御 来 自 网 络 上 的 各 种 对 数据 库 及 个 人 终端 的 攻击 ,一 旦 非法 用 户 针对 
网 上 传输 数据 做 出 伪造 ,删除 ` 窃 取 、 复 改 等 攻击 ,都 将 造成 十 分 严重 的 影响 和 
损失 。 

3) 网 络 设备 风险 分 析 

由 于 在 企业 信息 系统 中 要 使 用 大 量 的 网 络 设备 ,如 交换 机 、 路 由 器 等 ,其 自身 安全 性 
也 会 直接 关系 到 信息 系统 和 网 络 系统 的 正常 运转 。 

4) 系统 风险 分 析 

网 络 通常 采用 的 操作 系统 本 身 、 服 务 器 、 数 据 库 及 相关 商用 产品 存在 的 一 些 安全 隐 
患 ,可 能 对 系统 安全 造成 危害 。 

5) 应 用 风险 分 析 

用 户 提交 的 业务 信息 被 监听 或 修改 ,用 户 对 成 功 提交 的 业务 事后 抵赖 ,在 信息 共享 中 
存在 非法 用 户 对 内 部 网 和 服务 器 的 攻击 行为 等 。 

6) 身份 认证 漏洞 

服务 器 系统 登录 和 主机 登录 使 用 的 是 静态 口令 ,口令 在 一 定时 间 内 是 不 变 的 ,非法 用 
户 可 能 通过 网 络 窃听 ,非法 数据 库 访 问 .技术 攻击 等 手段 得 到 这 种 静态 口令 ,然后 利用 口 
令 对 资源 进行 非法 访问 和 越权 操作 。 

7) 文件 存储 漏洞 

网 络 信息 系统 中 ,无 论 是 办 公文 件 还 是 业务 相关 的 数据 ,都 是 以 文件 形式 存储 在 本 地 
桌面 或 备份 在 服务 器 中 。 一 旦 文件 被 非法 复制 或 在 未 授权 的 情况 下 被 打开 或 算 改 ,都 会 
造成 损失 。 在 应 用 及 管理 方面 .存在 着 如 何 加 强 网 上 传输 重要 信息 的 安全 保密 ,如 何 加 强 
笔记 本 电脑 .PC 终端 和 信息 资源 的 保密 管理 等 问题 。 


10.1.2 规划 设计 


涉 密 网 络 建设 ,为 企业 的 应 用 系统 提供 统一 的 运行 平台 ,统一 管理 各 类 信息 ,使 研发 
设计 、 事 务 处 理 \ 信 息 管理 ,决策 支持 等 几 个 层次 的 信息 处 理 和 应 用 融 为 一 体 ,为 内 部 员工 
提供 信息 资源 共享 。 安 全 保密 信息 系统 安全 建设 的 体系 结构 主要 由 物理 安全 、 网 络 运行 
安全 ,信息 安全 保密 和 安全 保密 管理 四 方面 构成 。 
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1. 物理 安全 

1) 环境 安全 

对 安全 保密 网 络 的 环境 进行 安全 保护 ,如 区 域 保护 和 灾难 保护 。 特 别 要 关注 其 机 房 
的 建设 ,中 心机 房 建设 应 满足 国家 有 关 标 准 的 要 求 , 包 括 场地 防火 ` 防 水 ` 防 震 , 电 力 \ 布 
线 , 配 电 、 防 雷 以 及 防 静 电 等 方面 。 

2) 设备 安全 

设备 安全 主要 包括 设备 的 防盗 防 毁 、 防 电磁 信息 辐射 泄漏 .防止 线路 截获 .电磁 干扰 
及 电源 保护 等 。 对 处 理 涉 密 信息 的 机 房 应 按 有 关 部 门 的 规定 进行 管理 ,采用 有 效 的 监控 
手段 ,如 安装 门禁 系统 ,电视 监控 系统 等 ,记录 出 人 机 房 及 重要 部 门 , 部 位 人 员 的 相关 信 
息 。 对 于 一 些 重要 的 密码 设备 ,可 采用 专用 安全 机 柜 进行 保护 ,避免 偷窃 和 破坏 行为 的 发 
生 。 系 统 要 具有 异地 备份 的 能 力 ,以 及 容 灾 和 快速 恢复 能 力 。 

3) 媒体 安全 

媒体 安全 包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 ,防止 系统 中 的 信息 在 空间 的 扩散 。 
涉 密 系统 的 安装 使 用 、 机 房 位 置 .接地 屏蔽 等 必须 满足 国家 的 有 关 规 定 和 标准 。 

2. 网络 运行 安全 

1) 系统 运行 安全 

包括 以 下 几 个 方面 。 

(1) 网 络 设备 安全 。 网 络 设备 自身 安全 性 ,也 会 直接 关系 到 信息 网 络 及 各 种 应 用 的 
正常 运转 。 考 虑 到 路 由 设备 存在 路 由 信息 泄漏 ,交换 机 和 路 由 器 配置 风险 等 ,通过 实施 安 
全 产品 和 安全 风险 评估 进行 合理 安全 配置 ,规避 安全 风险 ,提高 和 加 强 网 络 设备 自身 的 安 
全 防护 能 力 。 

(2) 网 络 传输 安全 。 在 网 络 层 的 数据 传输 中 ,采用 加 密 传输 和 访问 控制 策略 ,防止 重 
要 的 或 敏感 的 业务 数据 被 泄露 或 被 破坏 。 

(3) 网 络 边界 安全 。 采 用 防火 墙 \ 检 测 监 控 \、 安 全 认证 等 安全 技术 手段 ,防止 非法 用 
户 侵入 到 涉 密 网 络 系统 内 ,窃取 或 破坏 网 络 设备 和 主机 的 信息 ,增强 主 网 络 及 网 内 各 安全 
域 抗 攻击 的 主动 防范 能 力 。 

(4) 网 络 系统 访问 安全 。 采 用 PKI 技术、 虚拟 网 (VLAN) 技 术 、 安 全 认证 和 防火 墙 技 
术 来 实现 网 络 的 安全 访问 控制 ,以 及 不 同 网 络 安全 域 的 访问 控制 。 

2) 网 络 防 病毒 体系 

建立 多 层次 ,全 方位 的 网 络 防 病毒 体系 ,采用 统一 的 ,集中 的 ,智能 的 和 自动 化 的 管理 
手段 和 管理 工具 ,采用 先进 的 防 病毒 技术 以 及 安全 的 整体 解决 方案 ,有 效 地 检测 和 清除 各 
种 多 态 病毒 和 未 知 病毒 ,以 达到 具有 紧急 处 理 能 力 和 对 新 病毒 具有 最 快 的 响应 速度 。 

3) 网 络 安全 检测 体系 

实施 远程 安全 评估 ,定期 对 网 络 系统 进行 安全 性 分 析 , 对 系统 、 核 心 网 络 设备 和 主机 
进行 脆弱 性 扫描 与 分 析 , 从 而 及 时 发 现 并 修正 系统 存在 的 弱点 和 漏洞 ,降低 系统 的 安全 风 
险 指数 。 

4) 备份 与 恢复 

(1) 数据 库 安全 。 对 数据 库 系 统 所 管理 的 数据 和 资源 提供 安全 保护 ,如 物理 完整 性 、 
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逻辑 完整 性 .元 素 完整 性 .数据 的 加 密 、 用 户 鉴别 .可 获得 性 .可 审计 性 等 。 

(2) 容 灾 备 份 与 恢复 。 对 涉 密 系 统 的 主要 设备 .软件 ,数据 ,电源 等 要 进行 备份 ,使 其 
具有 在 较 短 的 时 间 内 恢复 系统 运行 的 能 力 。 具 有 对 备份 介质 的 管理 能 力 , 支 持 多 种 备份 
方式 ,以 保证 备份 数据 的 完整 性 和 正确 性 。 

3. 信息 安全 保密 建设 

1) 安全 审计 与 安全 监控 

通过 安全 审计 ,加 强 对 核心 服务 器 、 网 络 设备 和 进出 网 络 的 信息 流量 进行 日 志 记录 分 
析 , 保护 重要 的 或 敏感 的 信息 不 被 外 泄 。 通 过 检测 监控 ,安全 审计 等 系统 ,可 监控 网 络 上 
的 异常 行为 ,以 及 网 络 系统 中 的 安全 运行 状态 .系统 的 异常 事件 等 。 通 过 对 安全 事件 的 不 
断 收集 与 积累 并 且 加 以 分 析 ,可 以 为 发 现 可 能 的 破坏 性 行为 提供 有 力 的 证 据 。 

2) 操作 系统 安全 

操作 系统 的 安全 漏洞 为 攻击 者 提供 了 从 外 部 访问 计算 机 资源 的 后 门 ,所 以 ,对 重要 的 
应 用 系统 应 选用 安全 等 级 较 高 的 操作 系统 作为 服务 器 及 重要 终端 的 操作 系统 平台 ,正确 
地 配置 和 管理 所 使 用 的 操作 系统 ,并 通过 安全 加 固 和 安全 服务 ,提高 和 加 强 服务 器 及 操作 
系统 的 自身 安全 性 。 

3) 终端 安全 防护 

(1) 客户 端 身份 认证 及 访问 控制 。 采 用 基于 口令 或 密码 算法 的 身份 验证 等 安全 技 
术 , 对 用 户 登 录 系 统 和 操作 被 控 资源 进行 身份 认证 。 实 行 多 级 用 户 权限 管理 ,防止 非法 使 
用 机 器 。 防 止 越权 操作 及 非法 访问 文件 ,对 软驱 .光驱 .USB 接口 进行 访问 控制 。 

(2) 客户 端 信息 保护 。 对 存储 设备 及 信息 进行 统一 安全 管理 。 采 用 PKI 加 密 技 术 存 
放 人 敏感 信息 ,防止 敏感 明文 信息 的 外 泄 。 在 系统 平台 上 实施 身份 认证 机 制 和 权限 控制 , 实 
施 应 用 平台 上 用 户 对 资源 的 合法 访问 。 防 止 非法 软盘 拷贝 和 硬盘 启动 ,对 数据 和 程序 代 
码 进 行 加 密 存 储 , 防 止 信息 被 窃 。 预 防 病毒 ,防止 病毒 侵袭 。 

4) 信息 传输 安全 

(1) 信息 加 密 传输 。 采 用 加 密 技 术 ,在 应 用 层 实施 信息 传输 加 密 , 以 防止 通信 线路 上 
的 窃听 ,泄漏 、 自 改 和 破坏 。 

(2) 数据 完整 性 。 通 过 安全 认证 ,采用 数字 签名 机 制 保护 涉 密 信息 的 完整 性 ,防止 信 
息 在 其 动态 传输 过 程 中 被 非法 算 改 、 插 入 和 删除 。 

(3) 抗 抵 赖 。 采 用 数字 签名 ,防止 发 送 方 在 发 出 数据 后 又 否认 自己 发 送 过 此 数据 。 
通信 双方 采用 公 钥 加 密 体制 ,发 送 方 使 用 接收 方 的 公 钥 和 自己 的 私 钥 加 密 的 信息 ,接收 方 
只 有 使 用 自己 的 私 钥 和 发 送 方 的 公 钥 才能 解密 。 

4. 安全 保密 管理 

1) 管理 组 织 机 构 

建立 安全 保密 管理 机 构 ,明确 安全 保密 管理 机 构 的 职能 ,制定 安全 保密 管理 的 安全 策 
略 , 指 导 和 推动 各 级 安全 保密 管理 工作 的 开展 。 

2) 管理 制度 

在 网 络 信息 系统 建设 中 ,要 同步 建立 和 不 断 完善 安全 保密 管理 制度 ,管理 制度 的 内 容 
应 包括 : 网 络 及 信息 系统 的 安全 管理 .机房 安 全 管理 ,计算 机 病毒 安全 防范 、 存 储 介质 的 
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管理 .笔记 本 电脑 的 管理 、 密 钥 及 口令 的 管理 传真 机 与 复印 机 的 管理 等 。 

3) 安全 保密 管理 技术 

安全 管理 技术 体系 是 实施 安全 管理 的 技术 手段 ,是 安全 管理 智能 化 ,程序 化 、 自 动 化 
的 技术 保障 。 应 主动 防御 的 设计 思路 ,有 一 定 的 前 瞻 性 ,采用 先进 .适用 的 安全 技术 ,统一 
规划 、 统 一 标准 根据 统一 管理 ,根据 国家 有 关 规 定 和 标准 ,经 过 充分 的 安全 需求 调研 ,做 
出 网 络 安全 建设 的 总 体 规划 设计 方案 。 

在 安全 保密 网 建设 中 ,应 建立 统一 的 安全 管理 平台 ,通过 安全 技术 手段 的 实施 ,制定 
统一 的 安全 策略 ,加 强 对 内 网 中 违规 操作 及 行为 的 安全 管理 ,为 企业 的 各 类 应 用 提供 统一 
的 身份 认证 ,授权 与 访问 控制 服务 ,实现 统一 的 安全 策略 和 统一 的 安全 管理 。 使 系统 运行 
集成 化 、 安 全 管理 流程 合理 化 、 安 全 监控 动态 化 、 安 全 预警 自动 化 ,管理 改善 持续 化 。 





10.2 信息 系统 网 络 安全 工程 实施 


项 目 实施 计划 和 工程 组 织 将 直接 关系 到 设计 思想 能 否 得 到 充分 体现 ,从 而 保证 系统 
的 最 终 性 能 能 够 达到 系统 设计 的 要 求 。 所 以 ,可 以 这 样 认为 ,良好 的 施工 计划 以 及 组 织 保 
障 是 项 目 成 功 的 关键 。 

一 般 来 说 ,把 信息 系统 网 络 安全 建设 实施 分 成 以 下 三 个 阶段 : 

。 制定 项 目 计划 ; 

。 建立 项 目 组 织 机 构 ; 

。 工 程 具体 实施 。 


10.2.1 制定 项 目 计 划 


针对 每 个 信息 系统 网 络 安全 建设 工程 都 专门 制定 项 目 工程 实施 计划 ,对 项 目 工程 的 
实施 方式 .进度 .步骤 进行 详细 的 考虑 。 

在 项 目 计划 的 制定 中 ,采用 工程 化 的 项 目 管理 方法 ,进行 严格 ,科学 和 有 效 的 项 目 管 
理 。 从 组 织 管理 和 技术 管理 两 个 方面 对 项 目 实施 严格 规范 和 有 效 的 管理 。 

在 项 目 实施 中 将 按照 SSE-CMM 的 要 求 , 即 按照 系统 安全 工程 能 力 成 熟 度 模型 进行 
信息 安全 工程 的 实施 。 不 断 提高 信息 安全 工程 质量 与 可 用 性 ,降低 工程 实施 成 本 。 

SSE-CMM 给 出 了 信息 系统 安全 工程 需要 考虑 的 关键 过 程 域 ,可 指导 安全 工程 从 单 
一 的 安全 设备 设置 转向 系统 地 解决 整个 工程 的 风险 评估 、 安 全 策略 形成 、 安 全 方案 提出 、 
实施 和 生命 周期 控制 等 问题 。 可 以 将 整个 项 目 所 做 的 工作 分 为 项 目 启动 准备 、 项 目 实施 
改进 、 项 目 完成 跟踪 三 个 阶段 ,如 图 10-1 所 示 。 

从 图 10-1 可 以 看 出 ,工程 实施 贯穿 于 一 个 项 目的 执行 改进 阶段 和 完成 跟踪 阶段 , 因 
此 制定 一 个 切实 可 行 的 项 目 实施 计划 对 一 个 项 目的 成 功 至 关 重 要 。 

一 个 完美 的 项 目 实施 计划 需要 业主 单位 和 施工 单位 多 次 沟通 ,进行 细致 的 调研 ,在 此 
基础 上 形成 初步 方案 ,再 模拟 实施 运行 ,最 终 得 到 切实 可 操作 的 项 目 实 施 计划 书 。 
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图 10-1 项 目 实施 阶段 示意 图 


10.2.2 项 目 组 织 机 构 


信息 系统 信息 安全 建设 是 一 个 大 规模 的 系统 工程 , 它 不 仅 涉及 技术 实现 的 方法 和 手 
段 ,而 且 涉 及 实施 期 间 各 项 资源 的 管理 与 调配 。 为 了 能 够 有 效 进 行 资源 管理 控制 .进度 控 
制 和 质量 控制 ,确保 项 目 能 正常 顺利 实施 ,必须 建立 职责 明确 .执行 有 力 的 项 目 组 织 机 构 
从 组 织 管理 方面 对 项 目 实施 严格 .规范 和 有 效 的 控制 。 因 此 ,实施 双方 须 协调 一 致 ,由 双 
方 管理 人 员 和 技术 人 员 共 同 组 成 项 目 实施 组 ,一 方面 保证 工程 项 目的 正常 进行 , 另 一 方面 
也 有 力 于 今后 的 运行 维护 。 

项 目 组 织 机 构 主要 包括 项 目 领导 小 组 .工程 实施 小 组 ,质量 保障 小 组 等 。 其 组 织 关系 
如 图 10-2 所 示 。 

项 目 实 施工 程 组 织 将 直接 关系 到 设计 思想 能 否 得 到 充分 体现 ,从 而 保证 系统 的 最 终 
性 能 能 够 达到 系统 设计 要 求 。 

项 目 领导 小 组 : 由 业主 单位 安全 建设 项 目 负 责 人 和 施工 单位 主要 负责 人 共同 组 成 ， 
负责 工程 的 整体 把 握 , 制 定 项 目 目标 和 验收 标准 ,明确 项 目 管理 框架 及 项 目 实施 的 总 体 
协调 。 

项 目 经 理 : 主要 负责 整个 工程 的 总 体 规划 .施工 进度 的 安排 和 确保 实施 质量 ,执行 领 
导 小 组 所 制定 的 各 项 准则 ,负责 组 织 实施 队伍 。 一 般 由 施工 单位 人 员 担 任 。 

质量 保障 小 组 : 由 业主 单位 安全 建设 项 目 相 关 技 术 人 员 组 成 ,负责 对 整个 项 目的 实 
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图 10-2 项 目 组 织 关 系 


施 质量 进行 监督 。 检 查 、 督 促 项 目 实施 的 进度 和 效果 ,及 时 对 项 目 实施 情况 提出 意见 和 
建议 。 

系统 建设 负责 人 : 主要 负责 项 目 安 全 建设 中 所 涉及 各 个 方面 工作 的 总 体 规划 以 及 各 
项 工作 的 具体 实施 等 相关 工程 方面 的 内 容 。 一 般 由 施工 单位 人 员 担 任 。 

系统 文档 负责 人 : 主要 负责 工程 实施 过 程 中 所 有 文档 资料 的 编写 .整理 .归档 等 工 
作 。 一 般 由 施工 单位 人 员 担 任 。 

安全 设备 负责 人 : 负责 信息 安全 产品 的 采购 、 总 体 调试 、 供 应 商 协调 工作 。 一 般 由 施 
工 单位 人 员 担 任 。 

以 上 为 一 个 信息 系统 建设 项 目 工程 基本 需要 的 组 织 机 构 。 在 大 型 的 信息 系统 建设 项 
目 中 ,还 需要 考虑 培训 负责 人 员 来 安排 培训 日 程 ,以 及 服务 负责 人 来 负责 项 目 软件 安装 、 
配置 和 后 期 工作 等 。 


10.2.3 工程 具体 实施 


为 了 保证 项 目 实施 进度 ,将 具体 的 工程 实施 周期 分 为 五 个 阶段 ,分 别 如 下 : 

。 第 一 阶段 : 设备 订货 阶段 ( 指 合 同 签订 及 预付 款 到 达 后 的 一 段 时 间 ); 

。 第 二 阶段 : 设备 到 场 、 检 验 阶段 ; 

。 第 三 阶段 : 设备 的 安装 .调试 以 及 设备 验收 阶段 (双方 单位 共同 验收 ); 

。 第 四 阶段 : 工程 验收 和 售后 服务 阶段 ; 

。 第 五 阶段 : 系统 正常 运行 后 的 售后 跟踪 服务 阶段 。 

1. 设备 订货 

从 合同 签订 到 合同 预付 款 收 到 后 ,由 设备 采购 单位 向 设备 提供 商 下 订货 单 。 设 备 从 
订货 到 到 货 时 间 可 以 双方 商定 ,一 般 为 1 一 4 周 时 间 。 

2. 设备 到 货 

设备 到 场 后 ,业主 单位 派 代表 监督 施工 单位 进行 现场 检验 。 检 验 结果 须 有 文字 记录 ， 
由 双方 确认 ,每 方 各 执 一 份 。 对 检验 不 合格 的 设备 ,将 由 设备 采购 方 负责 更 换 。 
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验收 测试 要 求 : 
。 设备 出 货 前 ,将 依据 合同 清单 ,对 设备 .品种 .数量 进行 核对 后 ,运送 到 合同 规定 的 
地 点 ,并 出 具 (设备 送 货 单 )。 
对 于 出 厂 设备 ,施工 单位 售后 项 目 工程 师 和 销售 人 员 将 严格 按 合 同 检查 买卖 双方 
共同 核准 的 设备 数量 ,保证 到 达 业 主 单位 的 设备 完全 正确 。 
以 合同 清单 为 准 , 和 业主 单位 一 道 完成 设备 清点 ,并 共同 填写 (设备 送 货 单 )。 

出 货 检查 后 ,施工 单位 将 对 检测 .验收 的 所 有 设备 ,包括 硬件 .软件 ,将 列 出 详细 的 设 
备 检测 情况 一 览 表 ,并 提交 正式 打印 的 记录 材料 (设备 验收 报告 》。 

3. 安装 和 开通 

施工 单位 和 业主 单位 必须 在 开工 前 确定 共同 的 具体 工作 日 程 表 和 实施 计划 。 施 工 单 
位 的 技术 人 员 到 达 后 ,双方 必须 根据 日 程 表 和 实施 计划 开始 工作 。 任 何 日 程 表 和 实施 计 
划 的 修改 ,必须 由 双方 通过 友好 协商 制定 。 

双方 代表 应 对 工程 进度 和 主要 工作 及 业主 单位 提出 的 问题 和 解决 办 法 用 文字 在 工作 
日 志 上 登记 ,一 式 两 份 ,由 双方 代表 签字 ,每 方 一 份 。 

施工 单位 必须 指派 代表 负责 执行 设备 的 安装 .调试 服务 ,并 应 配合 业主 单位 工地 总 代 
表 , 解 决 合同 中 出 现 的 技术 和 工作 问题 。 

技术 人 员 必 须 向 业主 单位 被 指导 的 技术 人 员 仔 细 解 释 技 术 文 件 、 图 纸 、 运 行 手 册 , 并 
回答 业主 单位 技术 人 员 提 出 的 在 合同 范围 中 的 技术 问题 。 

4. 工程 的 验收 

1) 安装 测试 验收 

系统 安装 及 测试 时 ,施工 单位 将 组 织 工 程 实施 小 组 。 小 组 成 员 由 买卖 双方 共同 确定 ， 
以 施工 单位 为 主 ,业主 单位 以 参与 .协调 为 辅 ,工程 实施 小 组 将 专人 负责 ,每 天 安装 及 测试 
的 内 容 有 详细 的 工作 文档 记录 。 在 开始 工程 实施 前 后 ,施工 单位 将 提供 : 工程 实施 计划 、 
工程 进度 安排 、 工 程 进展 安排 工程 进展 状况 .工程 问题 报告 工程 解决 方案 等 工程 资料 ， 
提交 业主 单位 负责 人 ,直到 工程 移交 为 止 。 

2) 移交 测试 

移交 测试 将 由 双方 共同 拟定 测试 内 容 、 测 试 指 标 、 测 试 结果 说 明 、 测 试 仪器 及 方法 等 
内 容 给 项 目 负责 人 审查 通过 。 

双方 移交 测试 结果 经 业主 单位 审查 , 若 其 中 有 未 达到 要 求 之 项 目 , 买 卖 双方 按照 合同 
条 款 , 按 双方 商定 的 结果 做 下 一 步 解 决 办 法 。 

设备 由 施工 单位 工程 实施 小 组 安装 实施 完毕 后 ,在 开通 之 前 ,工程 小 组 将 进行 开通 前 
的 准备 工作 ,包括 用 户 设置 、 网 络 配置 .操作 注意 事项 等 。 开 通 时 需要 施工 单位 提供 行政 
上 的 支持 ,包括 召集 相关 单位 技术 人 员 配 合 工作 ,技术 人 员 协 调 实 施 问题 。 对 于 产品 质量 
问题 ,由 买卖 双方 全 面 负责 ,加 以 解决 。 

3) 试 运转 验收 测试 

试 运 转 期 间 , 施 工 单位 工程 人 员 将 观察 .记录 产品 的 各 项 功能 实施 情况 .主要 测试 及 
观察 以 下 间 题 : 
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。 对 各 个 终端 运行 情况 进行 记录 ,了 解 各 终端 在 使 用 时 是 否 有 障碍 及 发 生 的 概率 ; 

。 交换 机 各 项 功能 在 运转 时 的 情况 ; 

。 服务 器 各 项 功能 在 运转 时 的 情况 。 

5. 售后 服务 跟踪 

工程 实施 结束 后 ,项 目 并 没有 结束 。 还 应 该 按照 合同 上 规定 的 售后 服务 条 款 , 由 售后 
服务 的 提供 单位 负责 整个 项 目的 应 急 响应 .设备 升级 、 安 全 服务 等 。 


10.3 政府 网 络 安全 解决 方案 


10.3.1 概述 


以 Internet 为 代表 的 全 球 性 信息 化 浪潮 日 益 高 涨 ,信息 网 络 技术 的 应 用 正 日 益 普 及 
和 广泛 ,应 用 层次 正在 深入 ,应 用 领域 从 传统 的 小 型 业务 系统 逐渐 向 大 型 .关键 业务 系统 
扩展 ,典型 的 如 行政 部 门 业 务 系统 ,金融 业务 系统 、 企 业 商 务 系统 等 。 伴 随 网 络 的 普及 , 安 
全 日 益 成 为 影响 网 络 效能 的 重要 问题 ,而 Internet 所 具有 的 开放 性 ,国际 性 和 自由 性 在 增 
加 应 用 自由 度 的 同时 ,对 安全 提出 了 更 高 的 要 求 。 如 何 使 信息 网 络 系统 不 受 黑客 和 工业 
间谍 的 入 侵 , 已 成 为 政府 机 构 、 企 事业 单位 信息 化 健康 发 展 所 要 考虑 的 重要 事情 之 一 。 

政府 机 构 从 事 的 行业 性 质 是 跟 国家 紧密 联系 的 ,所 涉及 信息 可 以 说 都 带 有 机 密 性 ,所 
以 其 信息 安全 问题 ,如 敏感 信息 的 泄露 .黑客 的 侵扰 、 网 络 资源 的 非法 使 用 以 及 计算 机 病 
毒 人 侵 等 ,都 将 对 政府 机 构 信 息 安 全 构成 威胁 。 为 保证 政府 网 络 系统 的 安全 ,有 必要 对 其 
网 络 进行 专门 安全 设计 。 


10.3.2 网络 系统 分 析 


1. 基本 网 络 结构 

随 着 网 络 发 展 与 普及 ,多 数 政 府 行业 单位 也 从 原来 的 单机 发 展 到 局 域 网 并 扩展 到 广 
域 网 ,把 分 布 在 全 国 各 地 的 系统 内 单位 通过 网 络 互 联 起 来 ,从 整体 上 提高 了 办 事 效率 。 
图 10-3 是 某 个 政府 机 关 网 络 系统 拓扑 示意 图 。 

如 图 10-3 所 示 ,国家 局 网 络 一 方面 通过 宽带 网 与 国家 局 直属 单位 互联 , 另 一 方面 与 
各 省 局 单位 网 络 互联 ;而 各 省 局 单位 又 与 其 各 自 的 下 属地 市 局 单位 互联 。 本 行业 系统 各 
局 域 网 经 广 域 线路 互联 ,构成 一 个 全 国 性 的 企业 网 。 

2. 网 络 应 用 

常见 应 用 如 下 : 

。 文件 共享 .办 公 自 动 化 .WWW 服务、 电子 邮件 服务 ; 

。 文件 数据 的 统一 存储 ; 

。 针对 特定 的 应 用 在 数据 库 服务 器 上 进行 二 次 开发 (例如 财务 系统 ); 

。 提供 Internet 的 访问 ; 

。 通过 公开 服务 器 对 外 发 布 企 业 信息 发送 电子 邮件 等 ; 
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图 10-3 某 机 关 网 络 拓扑 图 


10.3.3 ”网 络 安全 风险 分 析 


网 络 应 用 给 人 们 带 来 了 无 尽 的 好 处 ,但 随 着 网 络 应 用 扩大 ,网 络 安全 风险 也 变 得 更 加 
严重 和 复杂 。 


1. 物理 安全 风险 分 析 

物理 安全 风险 分 析 主 要 有 : 

。 网 络 的 物理 安全 主要 是 指 地 震 , 水 灾 、 火 灾 等 环境 事故 ; 
。 电 源 故 障 ; 

。 人 为 操作 失误 或 错误 ; 

设备 被 盗 、 被 毁 ; 

。 电磁 干扰 ; 

。 线路 截获 。 
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2. 网 络 平台 的 安全 风险 分 析 

网 络 平台 的 安全 涉及 网 络 拓扑 结构 、 网 络 路 由 状况 及 网 络 的 环境 等 。 

1) 整个 网 络 结构 和 路 由 状况 

安全 的 应 用 往往 是 建立 在 网 络 系统 之 上 的 ,网 络 系统 的 成 熟 与 否 直 接 影 响 安全 系统 
建设 的 成 功 与 否 。 

2) 保密 安全 

确保 上 网 计算 机 不 涉 密 , 涉 密 计算 机 不 上 网 。 

3) 终端 安全 

局 域 网 内 计算 机 终端 作为 信息 发 布 平台 ,一 旦 不 能 运行 ,或 者 受到 攻击 ,影响 巨大 。 
黑客 ,病毒 , 非 授权 访问 都 是 面临 的 威胁 。 

3. 系统 的 安全 风险 分 析 

所 谓 系统 的 安全 ,显而易见 是 指 整个 局 域 网 网 络 操作 系统 、 网 络 硬件 平台 是 否 可 靠 且 
值得 信任 。 网 络 操作 系统 、 网 络 硬件 平台 的 可 靠 性 依靠 对 现 有 的 操作 平台 进行 安全 配置 、 
对 操作 和 访问 权限 进行 严格 控制 ,以 提高 系统 的 安全 性 。 

4. 应 用 的 安全 风险 分 析 

应 用 系统 的 安全 与 具体 的 应 用 有 关 , 它 涉及 很 多 方面 。 应 用 系统 的 安全 是 动态 的 ,不 
断 变化 的 。 应 用 的 安全 性 也 涉及 信息 的 安全 性 , 它 包 括 很 多 方面 : 

。 涉及 信息 ,数据 的 安全 性 ; 

。 涉 及 机 密 信息 泄露 ,访问 未 经 授权 、 信 息 完整 性 破坏 \ 假 冒 .系统 的 可 用 性 破坏 等 。 

5. 管理 的 安全 风险 分 析 

管理 是 网 络 中 安全 最 重要 的 部 分 。 责 权 不 明 、 管 理 混乱 、 安 全 管理 制度 不 健全 及 缺乏 
可 操作 性 等 都 可 能 引起 管理 安全 的 风险 。 


10.3.4 网 络 安全 需求 及 安全 目标 


1. 安全 需求 分 析 
通过 前 面 对 局 域 网 络 结构 、 应 用 及 安全 威胁 的 分 析 , 可 以 得 出 必须 要 集中 力量 加 强 对 
服务 器 的 安全 保护 ,严防 黑客 和 病毒 .强化 重要 网 段 的 保护 ,积极 进行 网 络 安全 管理 。 因 
此 ,必须 采取 相应 的 安全 措施 杜绝 安全 隐患 ,应 该 做 到 : 
公开 服务 器 的 安全 保护 ; 
防止 黑客 从 外 部 攻击 ; 
进行 人 侵 检 测 与 监控 ; 
进行 信息 审计 与 记录 ; 
进行 病毒 防护 ; 
进行 数据 安全 保护 ; 
进行 数据 备份 与 恢复 ; 
进行 网 络 的 安全 管理 。 
在 系统 考虑 如 何 解 决 上 述 安全 问题 的 设计 时 应 满足 如 下 要 求 : 
。 大 幅度 地 提高 系统 的 安全 性 (重点 是 可 用 性 和 可 控 性 ); 
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保持 网 络 原 有 的 特点 , 即 对 网 络 的 协议 和 传输 具有 很 好 的 透明 性 ,能 透明 接 入 ,无 
须 更 改 网 络 设置 ; 

易于 操作 ,维护 ,并 便于 自动 化 管理 ,而 不 增加 或 少 增加 附加 操作 ; 

尽量 不 影响 原 网 络 拓扑 结构 ,同时 便于 系统 及 系统 功能 的 扩展 ; 

。 安全 保密 系统 具有 和 较 好 的 性 能 价格 比 ,进行 一 次 性 投资 ,可 以 长 期 使 用 ; 

。 安全 产品 具有 合法 性 , 须 经 过 国家 有 关 管 理 部 门 的 认可 或 认证 。 

2. 网 络 安全 策略 

安全 策略 是 指 在 一 个 特定 的 环境 里 ,为 保证 提供 一 定 级 别 的 安全 保护 所 必须 遵守 的 
规则 。 该 安全 策略 模型 包括 了 建立 安全 环境 的 三 个 重要 组 成 部 分 。 

(1) 威严 的 法 律 。 安 全 的 基石 是 社会 法 律 法 规 与 手段 ,这 部 分 用 于 建立 一 套 安 全 管 
理 标 准 和 方法 。 即 通过 建立 与 信息 安全 相关 的 法 律 、 法 规 , 使 非法 分 子 慑 于 法 律 ,不 敢 轻 
举 妄 动 。 

(2) 先进 的 技术 。 先 进 的 安全 技术 是 信息 安全 的 根本 保障 ,用 户 对 自身 面临 的 威胁 
进行 风险 评估 ,决定 其 需要 的 安全 等 级 以 及 服务 种 类 ,选择 相应 的 安全 机 制 ,然后 集成 先 
进 的 安全 技术 。 

(3) 严格 的 管理 。 各 网 络 使 用 机 构 、 企 业 和 单位 应 建立 相宜 的 信息 安全 管理 办 法 ,加 
强 内 部 管理 ,建立 审计 和 跟踪 体系 ,提高 整体 信息 安全 意识 。 

3. 系统 安全 目标 

基于 以 上 的 分 析 ,局域网 网 络 系统 安全 应 该 实现 以 下 目标 : 

。 建立 一 套 完整 可 行 的 网 络 安全 与 网 络 管理 策略 ; 

。 将 内 部 网 络 、 公 关 服 务 器 网 络 和 外 网 进行 有 效 隔离 ,避免 与 外 部 网 络 的 直接 通信 ; 

。 建立 网 站 各 主机 和 服务 器 的 安全 保护 措施 ,保证 系统 安全 ; 

。 对 网 上 服务 请 求 内 容 进行 控制 ,使 非法 访问 在 到 达 主 机 前 被 拒绝 ; 

。 加 强 合 法 用 户 的 访问 认证 ,同时 将 用 户 的 访问 权限 控制 在 最 低 限 度 ; 

。 全 面 监视 对 公开 服务 器 的 访问 ,及 时 发 现 和 拒绝 不 安全 的 操作 和 黑客 攻击 行为 ; 

。 加 强 对 各 种 访问 的 审计 工作 ,详细 记录 对 网 络 、 公 开 服 务 器 的 访问 行为 ,形成 完整 

的 系统 日 志 ; 
。 备份 与 灾难 恢复 一 一 强化 系统 备份 ,实现 系统 快速 恢复 ; 
。 加 强 网 络 安全 管理 ,提高 系统 全 体 人 员 的 网 络 安全 意识 和 防范 技术 。 


10.3.5 网 络 安全 方案 总 体 设 计 


1. 安全 方案 设计 原则 

对 局 域 网 网 络 系统 安全 方案 进行 设计 、 规 划 时 , 应 遵循 以 下 原则 。 

1) 综合 性 ,整体 性 原则 

应 用 系统 工程 的 观点 方法. 分析 网 络 的 安全 及 具体 措施 。 安 全 措施 主要 包括 : 行政 
法 律 手段 ,管理 制度 (人 员 审 查 \ 工 作 流 程 、 维 护 保障 制度 等 ) 以 及 专业 措施 (识别 技术 、 存 
取 控 制 、 密 码 、 低 辐射 ,容错 、 防 病毒 、 采 用 高 安全 产品 等 )。 一 个 较 好 的 安全 措施 往往 是 多 
种 方法 适当 综合 的 应 用 结果 。 这 些 环节 在 网 络 中 的 地 位 和 影响 作用 ,也 只 有 从 系统 综合 
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整体 的 角度 去 看 待 , 分 析 , 才 能 取得 有 效 、 可 行 的 措施 。 即 计算 机 网 络 安全 应 遵循 整体 安 
全 性 原则 ,根据 规定 的 安全 策略 制定 出 合理 的 网 络 安全 体系 结构 。 

2) 需求 ,风险 .代价 平衡 的 原则 

对 任 一 网 络 ,绝对 安全 难以 达到 ,也 不 一 定 是 必要 的 。 对 一 个 网 络 进行 具体 研究 ( 包 
括 任务 .性 能 、 结 构 、. 可 靠 性 、 可 维护 性 等 ) ,并 对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定 
性 与 定量 相 结合 的 分 析 , 然 后 制定 规范 和 措施 ,确定 该 系统 的 安全 策略 。 

3) 一 致 性 原则 

一 致 性 原则 主要 是 指 网 络 安全 问题 应 与 整个 网 络 的 工作 周期 (或 生命 周期 ) 同 时 存 
在 ,制定 的 安全 体系 结构 必须 与 网 络 的 安全 需求 相 一 致 。 安 全 的 网 络 系统 设计 (包括 初步 
或 详细 设计 ) 及 实施 计划 、 网 络 验证 .验收 .运行 等 ,都 要 有 安全 的 内 容 及 措施 ,实际 上 ,在 
网 络 建设 的 开始 就 考虑 网 络 安全 对 策 ,在 网 络 建设 好 后 再 考虑 安全 措施 ,不 但 容易 , 且 花 
费 也 小 得 多 。 

4) 易 操 作 性 原则 

安全 措施 需要 人 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 求 过 高 ,本 身 就 降低 了 安全 性 。 
其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 。 

5) 分 步 实 施 原则 

由 于 网 络 系统 及 其 应 用 扩展 范围 广阔 , 随 着 网 络 规模 的 扩大 及 应 用 的 增加 ,网 络 脆弱 
性 也 会 不 断 增 加 。 一 劳 永 逸 地 解决 网 络 安全 问题 是 不 现实 的 ,同时 由 于 实施 信息 安全 措 
施 需 相当 的 费用 支出 ,因此 分 步 实 施 即 可 满足 网 络 系统 及 信息 安全 的 基本 需求 ,也 可 节省 
费用 开支 。 

6) 多 重 保护 原则 

任何 安全 措施 都 不 是 绝对 安全 的 ,都 可 能 被 攻破 。 但 是 如 果 建 立 一 个 多 重 保护 系统 ， 
各 层 保 护 相 互补 充 , 当 一 层 保护 被 攻破 时 ,其 他 层 保 护 仍 可 保护 信息 的 安全 。 

7) 可 评价 性 原则 

如 何 预 先 评价 一 个 安全 设计 并 验证 其 网 络 的 安全 性 ,这 需要 通过 国家 有 关 网 络 信息 
安全 测评 认证 机 构 的 评估 来 实现 。 

2. 安全 服务 ,机 制 与 技术 

安全 服务 包括 控制 服务 .对象 认证 服务 .可 靠 性 服务 等 ;安全 机 制 包括 访问 控制 机 制 、 
认证 机 制 等 ;安全 技术 包括 防火 墙 技术 .鉴别 技术 .审计 监控 技术 ,病毒 防治 技术 等 。 在 安 
全 的 开放 环境 中 ,用 户 可 以 使 用 各 种 安全 应 用 。 安 全 应 用 由 一 些 安全 服务 来 实现 ,而 安全 
服务 又 是 由 各 种 安全 机 制 或 安全 技术 来 实现 的 。 应 当 指出 ,同一 安全 机 制 有 时 也 可 以 用 
于 实现 不 同 的 安全 服务 。 


10.3.6 网 络 安全 体系 结构 


通过 对 安全 风险 .需求 分 析 结 果 .安全 策略 以 及 网 络 安全 目标 的 分 析 , 可 以 将 网 络 安 
全 体系 从 以 下 几 个 方面 描述 : 物理 安全 、 系 统 安 全 、 网 络 安全 、 应 用 安全 管理 安全 。 

1. 物理 安全 

保证 计算 机 信息 系统 各 种 设备 的 物理 安全 是 保障 整个 网 络 系 统 安 全 的 前 提 。 物 理 安 
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全 是 保护 计算 机 网 络 设备 \ 设 施 以 及 其 他 媒体 免 草 地震、 水 灾 、 火 灾 等 环境 事故 和 人 为 操 
作 失 误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 过 程 的 必要 条 件 。 它 主要 包括 三 个 
方面 : 

) 环境 安全 

对 系统 所 在 环境 的 安全 保护 ,参见 国家 标准 GB50173 一 93《 电 子 计算 机 机 房 设计 规 
范 )》、 国 标 GB2887 一 89《 计 算 站 场地 技术 条 件 》、.GB9361 一 88( 计 算 站 场地 安全 要 求 ) 等 标 
准 进 行 实 施 。 

2) 设备 安全 

(1) 屏蔽 。 对 主机 房 及 重要 信息 存储 ,收发 部 门 进行 屏蔽 处 理 , 即 建设 一 个 具有 高 效 
屏蔽 效能 的 屏蔽 室 , 用 它 来 安装 运行 主要 设备 ,以 防止 磁 鼓 .磁带 与 高 辐射 设备 等 的 信和 号 
外 泄 。 为 提高 屏蔽 室 的 效能 ,在 屏蔽 室 与 外 界 的 各 项 联系 .连接 中 均 要 采取 相应 的 隔离 措 
施 和 设计 ,如 信号 线 .电话 线 .空调 消防 控制 线 以 及 通风 .波导 门 的 把 柄 等 。 

(2) 抑制 。 对 本 地 网 .局域网 传输 线路 传导 辐射 进行 抑制 ,由 于 电缆 传输 辐射 信息 的 
不 可 避免 性 , 现 均 采用 光缆 传输 的 方式 ,大 多 数 均 在 Modem 出 来 的 设备 用 光电 转换 接 
口 ,再 用 光缆 接 出 屏 珊 室 外 进行 传输 。 

(3) 干扰 。 对 终端 设备 辐射 进行 防范 。 终 端 机 尤其 是 CRT 显示 器 ,由 于 上 万 伏 高 压 
电子 流 的 作用 ,辐射 有 极 强 的 信和 号 外 泄 ,但 又 因 终 端 分 散 使 用 ,不 宜 集 中 采用 屏蔽 室 的 办 
法 来 防止 , 故 现在 的 要 求 除 在 订购 设备 上 尽量 选取 低 辐射 产品 外 ,主要 采取 主动 式 的 干扰 
设备 (如 干扰 机 ) 来 破坏 对 应 信息 的 窃取 。 

2. 系统 安全 

1) 网 络 结构 安全 

网 络 结构 的 安全 主要 指 : 网 络 拓扑 结构 是 否 合理 ,线路 是 否 有 宛 余 ,路 由 是 否 元 余 。 

2) 操作 系统 安全 

尽量 采用 安全 性 较 高 的 网 络 操 作 系 统 并 进行 必要 的 安全 配置 ,关闭 一 些 不 常用 但 存 
在 安全 隐患 的 应 用 ,对 一 些 保 存 有 用 户 信 息 及 其 口令 的 关键 文件 (如 UNIX 下 的 host、 
etc/host、passwd、shadow、group 等 ;Windows NT 下 LMHOST、SAM 等 ) 使 用 权限 进行 
严格 限制 。 

加 强 口令 字 的 使 用 (增加 口令 复杂 程度 ,不 要 使 用 与 用 户 身 份 有 关 的 、 容 易 猜 测 的 信 
息 作为 口令 ) ,并 及 时 给 系统 打 补 丁 , 系 统 内 部 的 相互 调用 不 对 外 公开 。 

通过 配备 操作 系统 安全 扫描 系统 对 操作 系统 进行 安全 性 扫描 ,发 现 其 中 存在 的 安全 
漏洞 ,有 针对 性 地 对 网 络 设备 进行 重新 配置 或 升级 。 

3) 应 用 系统 安全 

在 应 用 系统 安全 上 ,应 用 服务 器 尽量 不 要 开放 一 些 不 经 常用 的 协议 及 协议 端口 号 ,如 
文件 服务 .电子 邮件 服务 器 等 应 用 系统 。 加 强 登录 身份 认证 ,确保 用 户 使 用 的 合法 性 。 严 
格 限制 登录 者 的 操作 权限 .将 其 完成 的 操作 限制 在 最 小 的 范围 内 。 充 分 利用 操作 系统 和 
应 用 系统 本 身 的 日 志 功 能 ,对 用 户 所 访问 的 信息 做 记录 ,为 事后 审查 提供 依据 。 

3. 网 络 安全 

网 络 安 全 是 整个 安全 解决 方案 的 关键 ,从 访问 控制 .通信 和 保密、 入侵 检 测 ,扫描 系统 、 
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病毒 防护 、 应 用 安全 ,构建 CA 体系 、 安 全 管理 方面 分 别 描述 。 

1) 隔离 与 访问 控制 

(1) 严格 的 管理 制度 。 可 制定 的 制度 有 :《 用 户 授权 实施 细则 《口令 字 及 账户 管理 
规范 兴 权 限 管理 制度 兴安 全 责任 制度 》 等 。 

(2) 划分 虚拟 子 网 (VLAN) 。 内 部 办 公 自 动 化 网 络 根据 不 同 用 户 安全 级 别 或 者 不 同 
部 门 的 安全 需求 ,利用 三 层 交 换 机 来 划分 虚拟 子 网 (VLAN) ,在 没有 配置 路 由 的 情况 下 ， 
不 同 虚拟 子 网 间 不 能 够 互相 访问 。 通 过 虚拟 子 网 的 划分 ,能 够 实 较 粗略 的 访问 控制 。 

(3) 配备 防火 墙 。 防 火 墙 是 实现 网 络 安 全 最 基本 、 最 经 济 、 最 有 效 的 安全 措施 之 一 。 
防火 墙 通过 制定 严格 的 安全 策略 实现 内 外 网 络 或 内 部 网 络 不 同 信任 域 之 间 的 隔离 与 访问 
控制 。 防 火 墙 还 可 以 实现 单 向 或 双向 控制 ,对 一 些 高 层 协议 实现 较 细 粒 的 访问 控制 。 
FortiGate 产品 从 网 络 层 到 应 用 层 都 实现 了 自由 控制 。 

2) 通信 保密 

数据 的 机 密 性 与 完整 性 主要 是 为 了 保护 在 网 上 传送 的 涉及 企业 秘密 的 信息 ,经 过 配 
备 加 密 设备 ,使 得 在 网 上 传送 的 数据 是 密 文 形式 ,而 不 是 明文 。 可 以 选择 以 下 几 种 方式 。 

(1) 链 路 层 加密 。 对 于 连接 各 涉 密 网 节点 的 广域网 线路 ,根据 线路 种 类 不 同 ,可 以 采 
用 相应 的 链 路 级 加 密 设 备 ,以 保证 各 节点 涉 密 网 之 间 交 换 的 数据 都 是 加 密 传送 ,防止 非 授 
权 用 户 读 懂 、 自 改 传输 的 数据 。 

由 于 链 路 加 密 机 是 在 链 路 级 ,加 密 机 制 采用 点 对 点 的 加 密 、 解 密 , 即 在 有 相互 访问 需 
求 并 且 要 求 加 密 传输 的 各 网 点 的 每 条 外 线 线路 上 都 得 配 一 台 链 路 加 密 机 。 通 过 两 端 加 密 
机 的 协商 配合 实现 加 密 、 解 密 过 程 ,如 图 10-4 所 示 。 


Hn em 加 机 


明文 
密 文 
图 10-4 链 路 密码 机 配备 示意 图 


(2) 网 络 层 加 密 。 对 于 分 布 较 广 、 网 点 较 多 ,而 且 可 能 采用 多 种 通信 线路 的 网 络 ,如 
果 采 用 多 种 链 路 加 密 设 备 的 设计 方案 则 增加 了 系统 投资 费用 ,同时 会 为 系统 维护 、 升 级 、 
扩展 也 带 来 相应 的 困难 。 因 此 在 这 种 情况 下 拟 采用 网 络 层 加 密 设 备 (VPN) 来 保护 内 部 
敏感 信息 和 企业 秘密 的 机 密 性 、 真 实 性 及 完整 性 。 

IPSec 是 在 TCP/IP 体系 中 实现 网 络 安全 服务 的 重要 措施 ,而 VPN 设备 正 是 一 种 符 
合 IPSec 标准 的 IP 协议 加 密 设 备 。 它 通过 利用 跨越 不 安全 的 公共 网 络 的 线路 建立 IP 安 
全 隧道 ,能 够 保护 子 网 间 传 输 信息 的 机 密 性 、 完 整 性 和 真实 性 。 经 过 对 VPN 的 配置 ,可 
以 让 网 络 内 的 某 些 主机 通过 加 密 隧 道 ,而 男 一 些 主机 仍 以 明文 方式 传输 ,以 达到 安全 性 、 
传输 效率 的 最 佳 平衡 。 一 般 来 说 ,VPN 设备 可 以 一 对 一 和 一 对 多 的 运行 ,并 具有 对 数据 
完整 性 的 保证 功能 , 它 安 装 在 被 保护 网 络 和 路 由 器 之 间 的 位 置 。VPN 配置 示意 图 如 
图 10-5 所 示 。 
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图 10-5 VPN 配置 示意 图 


由 于 VPN 设备 不 依赖 于 底层 的 具体 传输 链 路 , 它 一 方面 可 以 降低 网 络 安全 设备 的 
投资 ;而 另 一 方面 ,更 重要 的 是 它 可 以 为 上 层 的 各 种 应 用 提供 统一 的 网 络 层 安全 基础 设施 
和 可 选 的 虚拟 专用 网 服务 平台 。 对 政府 行业 网 络 系统 这 样 一 种 大 型 的 网 络 ,VPN 设备 可 
以 使 网 络 在 升级 提速 时 具有 很 好 的 扩展 性 。 

3) 和 人 侵 检测 

利用 防火 墙 并 经 过 严格 配置 ,可 以 阻止 各 种 不 安全 访问 通过 防火 墙 , 从 而 降低 安全 风 
险 。 但 是 ,网 络 安全 不 可 能 完全 依靠 防火 墙 单一 产品 来 实现 ,网 络 安全 是 个 统一 的 整体 ， 
作为 防火 墙 的 必要 补充 ,和 人 侵 检测 系统 就 是 很 好 的 安全 产品 。 入 侵 检测 系统 根据 已 有 的 、 
最 新 的 攻击 手段 的 信息 代码 对 进出 网 段 的 所 有 操作 行为 进行 实时 监控 ,记录 ,并 按 制定 的 
策略 实行 响应 ( 阻 断 ,报警 ,发送 Email) ,从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 。 入 侵 检 
测 系统 一 般 包括 控制 台 和 探测 器 (网 络 引 擎 )。 控 制 台 制定 并 管理 所 有 探测 器 (网 络 引 
擎 ) ,探测 器 (网 络 引擎 ) 监 听 进 出 网 络 的 访问 行为 ,根据 控制 台 的 指令 执行 相应 行为 。 由 
于 探测 器 采取 的 是 监听 而 不 是 过 滤 数 据 包 , 因 此 和 人 侵 检测 系统 的 应 用 不 会 对 网 络 系统 性 
能 造成 太 大 影响 。 

4) 扫描 系统 

网 络 扫描 系统 可 以 对 网 络 中 所 有 部 件 (Web 站 点 ,防火 墙 . 路 由 器 、TCP/IP 及 相关 协 
议 服 务 ) 进 行 攻 击 性 扫描 \ 分 析 和 评估 ,发现 并 报告 系统 存在 的 弱点 和 漏洞 ,评估 安全 风 
险 , 建 议 补 救 措施 。 

5) 病毒 防护 

由 于 在 网 络 环境 下 ,计算 机 病毒 有 不 可 估量 的 威胁 性 和 破坏 力 ,政府 网 络 系统 中 使 用 
的 操作 系统 一 般 均 为 Windows 系统 ,比较 容易 感染 病毒 ,因此 计算 机 病毒 的 防范 也 是 网 
络 安全 建设 中 应 该 考虑 的 重要 环节 。 反 病毒 技术 包括 预防 病毒 检测 病毒 和 杀毒 三 种 
技术 。 

(1) 预防 病毒 技术 。 预 防 病毒 技术 通过 自身 常 驻 系统 内 存 , 优 先 获得 系统 的 控制 权 ， 
监视 和 判断 系统 中 是 否 有 病毒 存在 ,进而 阻止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 
破坏 。 可 以 采用 加 密 可 执行 程序 .引导 区 保护 .系统 监控 与 读 写 控制 (如 防 病毒 卡 等 ) 等 
技术 。 

(2) 检测 病毒 技术 。 检 测 病毒 技术 是 通过 对 计算 机 病毒 的 特征 来 进行 判断 的 技术 
(如 自身 校 验 .关键 字 文件 长 度 的 变化 等 ) 来 确定 病毒 的 类 型 。 

(3) 杀毒 技术 。 和 杀毒 技术 通过 对 计算 机 病毒 代码 的 分 析 , 开 发 出 具有 删除 病毒 程序 
并 恢复 原文 件 的 软件 。 反 病毒 技术 的 具体 实现 方法 包括 对 网 络 中 服务 器 及 工作 站 中 的 文 
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件 及 电子 邮件 等 进行 频繁 的 扫描 和 监测 ,一 旦 发 现 与 病毒 代码 库 中 相 匹 配 的 病毒 代码 , 反 
病毒 程序 会 采取 相应 处 理 措施 (清除 、 更 名 或 删除 ) ,防止 病毒 进入 网 络 进 行 传播 扩散 。 

4. 应 用 安全 

1) 内 部 OA 系统 中 资源 共享 

严格 控制 内 部 员工 对 网 络 共享 资源 的 使 用 。 在 内 部 子 网 中 一 般 不 要 轻易 开放 共享 目 
录 , 否 则 容易 因 各 种 原因 在 与 员工 间 交 换 信息 时 泄漏 重要 信息 。 对 有 经 常 交换 信息 需求 
的 用 户 ,在 共享 时 也 必须 加 上 必要 的 口令 认证 机 制 , 即 只 有 通过 口令 的 认证 才 允 许 访问 
数据 。 

2) 信息 存储 

对 有 涉及 企业 秘密 信息 的 用 户主 机 ,使 用 者 在 应 用 过 程 中 应 该 做 到 尽量 少 开放 一 些 
不 常用 的 网 络 服务 。 对 数据 库 服务 器 中 的 数据 库 必 须 做 安全 备份 ,通过 网 络 备份 系统 可 
以 对 数据 库 进 行 远程 备份 存储 。 

5. 构建 CA 体系 

针对 信息 的 安全 性 ,完整 性 、 正 确 性 和 不 可 否认 性 等 问题 ,目前 国际 上 先进 的 方法 是 
采用 信息 加 密 技 术 、 数 字符 名 技术 。 具 体 实 现 的 办 法 是 使 用 数字 证 书 , 通 过 数字 证 书 , 把 
证 书 持 有 者 的 公开 密 钥 与 用 户 的 身份 信息 紧密 安全 地 结合 起 来 ,以 实现 身份 确认 和 不 可 
否认 性 。 签 发 数字 证 书 的 机 构 即 数字 证 书 认 证 中 心 (Certification Authority,CA) ,数字 
证 书 认证 中 心 为 用 户 签发 数字 证 书 ,为 用 户 身 份 确认 提供 各 种 相应 的 服务 。 在 数字 证 书 
中 有 证 书 拥有 者 的 甄别 名 称 (Distinguish Name,.DN) ,并 且 还 有 其 公开 密 钥 ,对 应 于 该 公 
开 密 钥 的 私有 密 钥 由 证 书 的 拥有 者 持 有 ,这 对 密 钥 的 作用 是 用 来 进行 数字 签名 和 验证 签 
名 ,这 样 就 能 够 保证 通信 双方 的 真实 身份 。 同 时 ,采用 数字 签名 技术 还 很 好 地 解决 了 不 可 
否认 性 的 问题 。 根 据 机 构 本 身 的 特点 ,可 以 考虑 先 构建 一 个 本 系统 内 部 的 CA 系统 , 即 所 
有 的 证 书 只 能 限定 在 本 系统 内 部 使 用 有 效 。 随 着 发 展 及 在 有 需求 的 情况 下 ,可 以 对 CA 
系统 进行 扩充 ,与 国家 级 CA 系统 互联 ,实现 不 同 企 业 间 的 交叉 认证 。 

6. 安全 管理 

1) 制定 健全 的 安全 管理 体制 

制定 健全 的 安全 管理 体制 将 是 网 络 安全 得 以 实现 的 重要 保证 。 各 政府 机 关 单 位 可 以 
根据 自身 的 实际 情况 ,制定 安全 操作 流程 .安全 事故 的 奖 罚 制度 以 及 对 任命 安全 管理 人 员 
的 考查 等 。 
2) 构建 安全 管理 平台 
构建 安全 管理 平台 将 会 降 逢 很 多 因为 无 意 的 人 为 因素 而 造成 的 风险 。 构 建安 全 管理 
平台 从 技术 上 组 成 安全 管理 子 网 ,安装 集中 统一 的 安全 管理 软件 ,如 病毒 软件 管理 系统 、 
网 络 设备 管理 系统 以 及 网 络 安全 设备 统管 理 软 件 。 通 过 安全 管理 平台 实现 全 网 的 安全 
管理 。 

3) 增强 人 员 的 安全 防范 意识 

政府 机 关 单 位 应 该 经 常 对 单位 员工 进行 网 络 安全 防范 意识 的 培训 .全面 提高 员工 的 
整体 网 络 安全 防范 意识 。 








信息 安全 工程 


本 章 小 结 


本 章 通过 对 涉 密 网 络 的 安全 规划 设计 ,提出 了 建设 思路 ,主要 包括 安全 风险 分 析 和 规 
划 设 计 ; 对 信息 系统 网 络 安全 工程 的 实施 过 程 进行 了 详细 讲解 ,包括 制定 项 目 计划 、 项 目 
组 织 机 构 和 工程 具体 实施 ;通过 具体 的 政府 网 络 安全 解决 方案 ,分 别 对 网 络 系统 分 析 、 网 
络 安 全 风险 分 析 、 网 络 安全 需求 及 安全 目标 、 网 络 安全 方案 总 体 设计 、 网 络 安全 体系 结构 
进行 了 讲解 。 


习 题 
1. 简 述 保密 信息 网 络 的 体系 结构 有 哪 几 方面 。 


2. 简 述 信息 系统 网 络 安全 工程 实施 的 各 阶段 任务 。 
3. 试 编制 一 份 网 络 安全 解决 方案 。 
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